deepfence/ThreatMapper

GitHub: deepfence/ThreatMapper

一款云原生运行时威胁管理与攻击路径枚举平台，聚焦持续监控与风险优先级排序。

Stars: 5249 | Forks: 640

![Deepfence Logo](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/e5596d4678090246.png) [![GitHub license](https://img.shields.io/github/license/deepfence/ThreatMapper)](https://github.com/deepfence/ThreatMapper/blob/master/LICENSE) [![GitHub stars](https://img.shields.io/github/stars/deepfence/ThreatMapper)](https://github.com/deepfence/ThreatMapper/stargazers) [![GitHub issues](https://img.shields.io/github/issues/deepfence/ThreatMapper)](https://github.com/deepfence/ThreatMapper/issues) [![Documentation](https://img.shields.io/badge/documentation-read-green)](https://threatmapper.org/threatmapper/docs/v2.5/) [![Slack](https://img.shields.io/badge/slack-@deepfence-blue.svg?logo=slack)](https://join.slack.com/t/deepfence-community/shared_invite/zt-podmzle9-5X~qYx8wMaLt9bGWwkSdgQ)

# ThreatMapper - 云原生运行时威胁管理和攻击路径枚举 Deepfence ThreatMapper 在您的生产平台中查找威胁，并根据其被利用的风险对这些威胁进行排名。它发现易受攻击的软件组件、暴露的密钥以及与良好安全实践的偏差。ThreatMapper 使用基于代理的检测和无代理监控相结合的方式，以提供最广泛的威胁检测覆盖范围。通过 ThreatMapper 的 **ThreatGraph** 可视化，您可以识别出对应用程序安全性构成最大风险的问题，并为其规划保护或补救措施。 * [在产品文档中了解 ThreatMapper](https://threatmapper.org/threatmapper/docs/v2.5/) * [在实时演示沙箱中查看 ThreatMapper 运行情况](https://threatmapper.org/threatmapper/docs/v2.5/demo) ## 何时使用 ThreatMapper ThreatMapper 延续了您已经在开发流水线中使用的良好的“左移”安全实践。它持续监控运行中的应用程序以应对新兴的软件漏洞，并监控主机和云配置是否符合行业专家基准。使用 ThreatMapper 为您的生产工作负载和基础设施提供安全可观测性，覆盖云、Kubernetes、无服务器（Fargate）和本地平台。 ## 规划您的部署 ThreatMapper 由两个组件组成： * **ThreatMapper 管理控制台**是一个基于容器的应用程序，可以部署在单个 Docker 主机或 Kubernetes 集群中。 * ThreatMapper 使用无代理 **Cloud Scanner** 任务和基于代理的 **Sensor Agents** 来监控运行中的基础设施。 ### 管理控制台您[首先部署管理控制台](https://threatmapper.org/threatmapper/docs/v2.5/console/)，在合适的 Docker 主机或 Kubernetes 集群上。例如，在 Docker 上： ``` # ThreatMapper Management Console 的 Docker 安装过程 wget https://github.com/deepfence/ThreatMapper/raw/release-2.5/deployment-scripts/docker-compose.yml docker-compose -f docker-compose.yml up --detach ``` 一旦管理控制台启动并运行，您可以[注册管理员账户并获取 API 密钥](https://threatmapper.org/threatmapper/docs/v2.5/console/initial-configuration)。 ### Cloud Scanner 任务 ThreatMapper [Cloud Scanner 任务](https://threatmapper.org/threatmapper/docs/v2.5/cloudscanner/) 负责查询云提供商 API 以收集配置并识别与合规基准的偏差。该任务使用 Terraform 模块进行部署。ThreatMapper 管理控制台将提供一个基础配置，可以使用 Terraform 部署，或者您可以参考专家配置以微调部署 ([AWS](https://threatmapper.org/threatmapper/docs/cloudscanner/aws), [Azure](https://threatmapper.org/threatmapper/docs/cloudscanner/azure), [GCP](https://threatmapper.org/threatmapper/docs/cloudscanner/gcp))。 ### Sensor Agents 在您的生产或开发平台上安装 [sensor agents](https://threatmapper.org/threatmapper/docs/v2.5/sensors/)。传感器会向管理控制台报告；它们告知其发现的服务、提供遥测数据并生成软件依赖项清单。 ThreatMapper sensor agents 支持以下生产平台： * [Kubernetes](https://threatmapper.org/threatmapper/docs/v2.5/sensors/kubernetes/)：ThreatMapper 传感器作为 DaemonSet 部署在 Kubernetes 集群中，使用 Helm Chart。 * [Docker](https://threatmapper.org/threatmapper/docs/v2.5/sensors/docker/)：ThreatMapper 传感器作为轻量级容器部署。 * [Amazon ECS](https://threatmapper.org/threatmapper/docs/v2.5/sensors/aws-ecs)：ThreatMapper 传感器作为使用任务定义的后台服务部署。 * [AWS Fargate](https://threatmapper.org/threatmapper/docs/v2.5/sensors/aws-fargate)：ThreatMapper 传感器作为边车容器部署，使用任务定义。 * [裸机或虚拟机](https://threatmapper.org/threatmapper/docs/v2.5/sensors/linux-host/)：ThreatMapper 传感器部署在轻量级 Docker 运行时。例如，运行以下命令以在 Docker 主机上启动 ThreatMapper 传感器： ``` docker run -dit \ --cpus=".2" \ --name=deepfence-agent \ --restart on-failure \ --pid=host \ --net=host \ --log-driver json-file \ --log-opt max-size=50m \ --privileged=true \ -v /sys/kernel/debug:/sys/kernel/debug:rw \ -v /var/log/fenced \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /:/fenced/mnt/host/:ro \ -e CUSTOM_TAGS="" \ -e MGMT_CONSOLE_URL="---CONSOLE-IP---" \ -e MGMT_CONSOLE_PORT="443" \ -e DEEPFENCE_KEY="---DEEPFENCE-API-KEY---" \ -e http_proxy="" \ -e https_proxy="" \ -e no_proxy="" \ quay.io/deepfenceio/deepfence_agent_ce:2.5.8 ``` 注意：镜像标签 `quay.io/deepfenceio/deepfence_agent_ce:2.5.8-multiarch` 支持 amd64 和 arm64/v8 架构。在 Kubernetes 平台上，传感器使用 [Helm Chart](https://threatmapper.org/threatmapper/docs/v2.5/sensors/kubernetes/) 安装。 ### 下一步访问 [Deepfence ThreatMapper 文档](https://threatmapper.org/threatmapper/docs/v2.5/)，了解如何开始以及如何使用 ThreatMapper。 # 联系我们 * [ThreatMapper 社区网站](https://threatmapper.org) * [

](https://join.slack.com/t/deepfence-community/shared_invite/zt-podmzle9-5X~qYx8wMaLt9bGWwkSdgQ) 有问题，需要帮助？在 Slack 上找到 Deepfence 团队 * [![GitHub issues](https://img.shields.io/github/issues/deepfence/ThreatMapper)](https://github.com/deepfence/ThreatMapper/issues) 有功能请求或发现错误？提出问题 * [![Documentation](https://img.shields.io/badge/documentation-read-green)](https://threatmapper.org/threatmapper/docs/v2.5/) 在 [Deepfence ThreatMapper 文档](https://threatmapper.org/threatmapper/docs/v2.5/) 中阅读文档 * [productsecurity at deepfence dot io](SECURITY.md)：发现安全问题？请保密地分享 # 获取 ThreatStryker 企业版 ThreatStryker 是 ThreatMapper 的企业版本，为企业安全团队提供额外功能。ThreatStryker 可作为云服务或本地部署。 # 安全与支持对于 ThreatMapper 项目中的任何安全问题，请联系 [productsecurity *at* deepfence *dot* io](SECURITY.md)。请根据需要提交 GitHub 问题，并加入 Deepfence 社区 [Slack 频道](https://join.slack.com/t/deepfence-community/shared_invite/zt-podmzle9-5X~qYx8wMaLt9bGWwkSdgQ)。 # 许可证 Deepfence ThreatMapper 项目（本仓库）在 [Apache2 许可证](https://www.apache.org/licenses/LICENSE-2.0) 下提供。 [贡献](CONTRIBUTING.md) 也同样在 Apache2 许可证下被接受，遵循 GitHub 的 [inbound=outbound 政策](https://docs.github.com/en/github/site-policy/github-terms-of-service#6-contributions-under-repository-license)。

标签：Agent-based, Agent-less, Chrome Headless, CNAPP, CSPM, Deepfence, DevSecOps, Kubernetes安全, Shift Left, ThreatGraph, ThreatMapper, TinkerPop, Web截图, 上游代理, 云安全态势管理, 前端应用, 可视化安全, 可视化界面, 威胁管理, 子域名突变, 安全优先级, 安全合规, 容器安全, 应用防护平台, 开源, 持续安全, 攻击路径枚举, 日志审计, 生产平台, 秘密检测, 网络代理, 自动化攻击, 请求拦截, 运行时威胁检测, 逆向工具, 速率限制, 风险排名