Deepfence 开源 ThreatMapper 以查找和排名软件漏洞

Deepfence是 Amyris、Flexport 和 Harness 等公司使用的云原生安全可观察性平台,它开源了一个工具,可以自动查找、映射和排列跨环境的应用程序漏洞。

Deepfence 成立于 2017 年,主要专注于保护云原生工作负载,涵盖无服务器、Kubernetes、容器和多云部署。例如,使用 Kubernetes,公司可以部署 Deepfence 来分析网络流量、文件系统完整性、正在运行的进程等。它还可以与托管 Kubernetes 服务(包括 OpenShift、Google GKE 和 Amazon EKS)一起使用。

虽然 Deepfence 一直提供企业版和称为ThreatMapper的社区化身,但从明天(10 月 14 日)起,后者将在开源许可下发布。

该公告发布之际,软件供应链攻击呈爆炸式增长,“上游”开源组件经常处于火线。过去一年,从政府机构到企业的无数组织都遭受了有针对性的软件供应链攻击,导致拜登总统发布了一项行政命令,概述了应对这些威胁的措施,而“大科技”也加大了对保护的投资。关键的开源软件。

保护软件供应链

ThreatMapper 扫描运行时环境中的整个软件供应链中的漏洞,帮助公司将已识别的威胁置于上下文中,并优先考虑需要紧急解决的威胁。

在许多公司在开发(部署前)过程的早期关注安全检查方面“左移”的时候,ThreatMapper 承认生产软件中仍然非常存在漏洞,扫描专有和第三方(例如,开源)应用程序和漏洞组件。

ThreatMapper 建立在其他开源软件安全扫描程序使用的数十个社区提要之上,包括国家漏洞数据库 (NVD)。它还汇集了来自不同供应商、操作系统发行版、语言维护者和 GitHub 存储库的数据库。

Deepfence 最初在去年推出了 ThreatMapper 作为免费增值的专有产品,在接下来的几个月中,该公司与来自开发人员安全运营 (DevSecOps) 社区的“早期采用者”合作改进产品并使其完全开源。

“ThreatMapper 一直是一种学习体验,因为我们考虑了技术将如何发展、如何使用它以及我们将采用什么样的商业模式来维持它,”Deepfence 的产品和社区负责人欧文加勒特告诉 VentureBeat。“过早地将技术开源会让人分心,并会产生外部压力,而我们会在不同的路线图和模型上进行迭代。”

虽然 ThreatMapper 将很快在 Apache 2.0 许可下可用,但 Deepfence 还将其商业企业产品重命名为ThreatStryker,该产品正在转变为运行时威胁缓解产品,使用来自 ThreatMapper 的见解来模拟“复杂攻击的演变”,提供预先警告威胁,并采取措施阻止攻击源并隔离任何已受到威胁的工作负载。

在接下来的几个月中,Deepfence 还计划将一些现有的高级功能迁移到开源项目,例如用于网络流量和网络和资源异常检测的深度数据包检测 (DPI)。它还准备通过推出 API 使开发人员能够将 ThreatMapper 洞察集成到其他应用程序中,从而将 Deepfence 开发为更多平台。

Garrett 说:“私下进行试验,而不是过早地开源代码,这使我们能够提出一个我们认为将为社区提供良好服务的社区和企业模型。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除。