近日，Deepfence 宣布开源 ThreatMapper 工具，该工具可以跨环境自动扫描、映射和排列应用程序的漏洞。

Deepfence 成立于 2017 年，是一个云原生安全观察平台，主要专注于保护云原生工作负载，涵盖 Serverless、Kubernetes、容器和多云部署。以 Kubernetes 为例，企业可以通过部署 Deepfence 来分析网络流量、文件系统的完整性、运行的进程等。

虽然 Deepfence 一直为 ThreatMapper 工具提供了企业版和社区版，但后者从现在开始将正式以 Apache 2.0 许可协议进行分发。

ThreatMapper 由两个组件组成 —— Deepfence 管理控制台和一系列 Deepfence 传感器。传感器应部署在你的生产平台内，它们将清单和遥测数据安全地转发给你的专用控制台。控制台会计算你的应用程序的拓扑结构，询问清单以查找漏洞，并为你的应用程序显示 "威胁图"。

ThreatMapper 能够扫描整个软件供应链中的漏洞，帮助公司确定已识别的威胁并对威胁进行上下游的分析，从而优先考虑需要紧急处理的威胁。

ThreatMapper 建立在其他开源软件安全扫描器所使用的 50 多个威胁信息获取源之上，其中汇集了国家漏洞数据库（NVD）、各种供应商、操作系统发行版、开发语言维护者和 GitHub 仓库的数据库。

在去年，Deepfence 最初以免费增值的专有产品形式推出了 ThreatMapper，在近一年时间里，该公司与来自社区的 "早期使用者" 展开合作，逐步完善了该产品并使其完全开源。

Deepfence 的产品和社区主管 Owen Garrett 表示："现代应用和服务在很大程度上依赖于开源组件，这些组件中的任何漏洞都可以在很大程度上被迅速利用。保护这些组件最有效的方式是社区努力；负责任的披露、公共漏洞反馈和免费提供的开源工具。"

在未来的几个月，Deepfence 还计划将一些现有的高级功能迁移到开源项目上，如网络流量的深度包检测（DPI）以及网络和资源异常检测。Deepfence 还计划推出 API，使开发者能够将 ThreatMapper 整合到其他应用程序中。