Heimdall Enterprise Server 2.0 技术文档

镜像概述和主要用途

Heimdall Enterprise Server 2.0 是 MITRE 开发的安全控制扫描结果查看器，包含完整版（Heimdall Enterprise Server）和轻量版（Heimdall-Lite）两个版本。两者共享相同前端界面，但针对不同需求和使用场景设计。Heimdall 允许用户查看、存储和比较各种自动化安全控制扫描结果（如 InSpec 运行结果），支持生成报告、筛选结果、生成系统安全计划（SSP）内容等功能，适用于安全评估、合规性检查和报告生成场景。

核心功能和特性

Heimdall 与 Heimdall-Lite 对比

使用场景和适用范围

Heimdall-Lite 适用场景

• 简单部署需求，可通过电子邮件传输应用和数据
• 最小资源占用和部署时间
• 本地或离线环境使用
• 一次性快速审查扫描结果
• 分散式部署
• 最小化授权与认证流程时间

Heimdall 适用场景

• 多团队协作支持
• 需要时间线和报告历史记录
• 集中式部署模式
• 需要查看多次运行结果的差异
• 需要查看 800-53 控制对齐的子集
• 需要生成多种格式的复杂报告

详细使用方法和配置说明

Heimdall-Lite

通过 npm 运行

Heimdall-Lite 发布于 npmjs.org，可通过 npx 直接运行或全局安装：

# 临时运行（无需安装）
npx @mitre/heimdall-lite

# 全局安装（推荐频繁使用时）
npm install -g @mitre/heimdall-lite
# 安装后运行
npx @mitre/heimdall-lite

通过 Docker 运行

# 运行稳定版（release-latest 标签）
docker run -d -p 8080:80 mitre/heimdall-lite:release-latest

# 运行开发版（latest 标签，包含最新特性）
docker run -d -p 8080:80 mitre/heimdall-lite:latest

访问 http://localhost:8080 即可使用 Heimdall-Lite。

Heimdall Server（Docker 部署）

Heimdall Server 需依赖数据库服务，推荐使用 Docker Compose 简化部署流程。

环境准备

1. 安装 Docker 和 Docker Compose
2. 从 发布页面 下载最新 Heimdall 版本并解压
3. 导航至包含 docker-compose.yml 的目录

SSL 配置（可选）

默认情况下，Heimdall 会生成有效期为 7 天的自签名证书。如需使用自定义证书，将证书文件放置于 ./nginx/certs/ 目录，命名为 ssl_certificate.crt（证书）和 ssl_certificate_key.key（私钥）。

部署步骤

1. 生成 Docker 密钥：

   ./setup-docker-secrets.sh
   

2. （可选）编辑生成的 .env 文件配置环境变量（如数据库连接、认证方式等，详细配置参考 环境变量文档）
3. 启动服务：

   docker-compose up -d
   

4. 访问 [***]（注意默认使用 HTTPS）

运行与管理

• 启动服务（已完成初始部署后）：

  docker-compose up -d
  

• 更新服务：

  docker-compose pull  # 获取最新镜像
  docker-compose up -d  # 重新部署（自动应用数据库迁移）
  

• 停止服务：

  docker-compose down
  

环境变量配置说明

Heimdall Server 依赖 .env 文件配置关键参数，主要包括：

• 数据库连接信息（PostgreSQL 主机、端口、用户名、密码）
• 认证方式配置（LDAP 服务器地址、OAuth 客户端 ID/密钥等）
• 应用端口、日志级别、SSL 配置等
• 多团队支持相关参数

具体配置项需参考项目 Wiki 的 环境变量配置指南。

API 使用

仅 Heimdall Enterprise Server（服务器模式）支持 API 功能。以下为上传评估结果的简要示例：

创建用户（仅需执行一次）

curl -X POST -H "Content-Type: application/json" -d '{"email": "***", "password": "password", "passwordConfirmation": "password", "role": "user", "creationMethod": "local" }' http://localhost:3000/users

登录获取令牌

curl -X POST -H "Content-Type: application/json" -d '{"email": "***", "password": "password" }' http://localhost:3000/authn/login
# 响应中包含 Bearer Token，用于后续请求

上传评估结果

curl -F "data=@Evaluation.json" -F "filename=Your Filename" -F "public=true/false" -H "Authorization: Bearer <bearer-token>" "http://localhost:3000/evaluations"

版本控制与开发状态

项目采用 语义化版本控制（Semantic Versioning）。

贡献与支持

贡献

欢迎通过 GitHub Issues 提交问题，或 Fork 仓库并提交 Pull Request 改进代码。

问题与支持

可通过 GitHub Issues 反馈问题，或联系：

• 技术支持：***
• 通用咨询：***

版权声明

© 2019-2021 The MITRE Corporation.
批准公开发布；分发不受限制。案例编号 18-3678。

MITRE 特此授予根据本项目包含的 LICENSE.md 文件中的许可条款允许的范围内使用、复制、分发、修改和以其他方式利用本软件的明确书面许可。

本软件是为美国政府根据合同编号 HHSM-500-2012-00008I 开发的，受《联邦采购条例》第 52.227-14 条“数据通用权利”的约束。
未经 The MITRE Corporation 的明确书面许可，除授予美国政府或代表美国政府行事的人员根据该条款享有的权利外，不得进行其他使用。
如需更多信息，请联系 The MITRE Corporation，合同管理办公室，7515 Colshire Drive, McLean, VA 22102-7539，(703) 983-6000。