SecuSphere是一款功能强大的一站式高效DevSecOps解决方案,DevSecOps作为一个经过针对性设计的集中式平台,可以帮助广大研究人员管理和优化漏洞管理、CI/CD管道集成、安全评估和DevSecOps实践。
SecuSphere是一个功能全面的DevSecOps平台,旨在简化和增强组织在整个软件开发生命周期中的安全态势。
1、漏洞管理:通过与各种漏洞扫描程序和安全测试工具集成,从一个集中的平台收集、处理、排定优先级并修复漏洞;
2、CI/CD管道集成:通过无缝的CI/CD管线集成提供实时安全反馈,包括自动安全扫描、安全网关和为开发人员提供的持续性反馈循环;
3、安全评估与审计:通过自动化整合安全相关内容并智能化消除重复数据,分析各个CI/CD管道阶段的安全评估报告;
4、DevSecOps实践:推动并加速团队中DevSecOpss原则和实践的采用;
由于该工具基于Python实现其功能,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,广大研究人员可以通过克隆项目代码、在本地搭建安装或通过Docker安装DevSecOps。
首先,我们需要使用下列命令将该项目源码克隆至本地:
$ git clone https://github.com/SecurityUniversalOrg/SecuSphere.git
在命令行窗口中,切换到项目目录,并运行Python文件:
$ cd src/ $ python run.py
在cicd目录中,构建并运行Dockerfile:
$ # 切换到项目根目录中 $ docker build -t secusphere:latest . $ docker run secusphere:latest
直接使用ci_cd/iac/目录中的Docker Compose:
$ cd ci_cd/iac/ $ docker-compose -f secusphere.yml up
我们也可以直接从Docker Hub上拉取最新版本的SecuSphere:
$ docker pull securityuniversal/secusphere:latest $ docker run -p 8081:80 -d secusphere:latest
打开浏览器并导航至127.0.0.1:5080,然后你将看到下列界面,填写你的信息并点击“Register”按钮即可:
使用刚刚创建的用户凭证登录Web终端:
手动创建一个新的应用程序配置,必须要授权管理员权限。然后输入下列地址导航到添加应用程序页面:
在该页面中输入应用程序信息:
完成后,点击提交按钮即可:
如需查看SecuSphere监控的应用程序状态,导航到“All Applications”页面,然后点击目标应用程序:
查看漏洞发现结果、严重性等级和评估类型的内容:
本项目的开发与发布遵循GPL-3.0开源许可证协议。
SecuSphere:【GitHub传送门】
https://hub.docker.com/r/securityuniversal/secusphere
https://github.com/SecurityUniversalOrg/SecuSphere/blob/main/user_guide/README.md