wiki/Catalogue-Self-Hosted/apps/app-safeline.md

---
title: SafeLine
created: 2026-06-08
updated: 2026-06-08
type: app
tags: [catalogue, app, firewall, auto-hebergement]
confidence: medium
contested: false
sources:
  - https://selfh.st/apps/?search=safeline
  - https://github.com/chaitin/SafeLine
---

# 🛡️ SafeLine

> **WAF (Web Application Firewall) auto-hébergé en Go, édité par Chaitin, avec détection sémantique, anti-bot, anti-DDoS L7 et reverse proxy intégré.**

## 📊 Métadonnées

| Champ | Valeur |
| :--- | :--- |
| **Nom** | SafeLine |
| **Slug** | `safeline` |
| **Catégorie principale** | [[cat-firewall]] |
| **Langage** | Go (28) |
| **Stars** | ⭐ 21468 |
| **Dernière MAJ** | 2025-11-05 |
| **Repo** | [github.com/chaitin/SafeLine](https://github.com/chaitin/SafeLine) |
| **Site** | [ly.safepoint.cloud/fUxS0GW](https://ly.safepoint.cloud/fUxS0GW) |

## 📝 Description

SafeLine est un **WAF open source auto-hébergé** développé par la société chinoise **Chaitin Tech**, bâti en Go et livré sous forme d'image Docker autonome. À la différence de ModSecurity, SafeLine embarque sa propre engine d'analyse (basée sur la **détection sémantique** et l'apprentissage automatique) et un reverse proxy NGINX intégré, ce qui permet un déploiement one-shot derrière un domaine exposé.

Le projet cible les **attaques OWASP Top 10** (SQLi, XSS, RCE, path traversal, désérialisation, etc.), ainsi que les abus bots (anti-brute-force, anti-credential-stuffing, captcha) et le **DDoS applicatif L7** (HTTP flood). Une console web d'administration permet d'ajouter des sites protégés, de visualiser les alertes, de gérer les règles personnalisées et de tuner le moteur de détection.

## 🐳 Installation Docker

```yaml
services:
  safeline:
    image: chaitin/safeline-mgmt:latest
    container_name: safeline
    restart: unless-stopped
    ports:
      - "9443:9443"
    volumes:
      - ./data:/data
    environment:
      - PUID=1000
      - PGID=1000
      - SAFELINE_DOMAIN=admin.example.com
      - SAFELINE_API_URL=http://safeline-mgmt:1443
```

> ⚠️ Adapte image/port/volumes selon le README officiel : https://github.com/chaitin/SafeLine

## 🔀 Reverse Proxy (Traefik)

```yaml
services:
  safeline:
    image: chaitin/safeline-mgmt:latest
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.safeline.rule=Host(`safeline.example.com`)"
      - "traefik.http.routers.safeline.entrypoints=websecure"
      - "traefik.http.routers.safeline.tls.certresolver=letsencrypt"
      - "traefik.http.services.safeline.loadbalancer.server.port=9443"
```

## 🔧 Configuration

- Première connexion : accéder à `https://<host>:9443` et créer le compte administrateur
- Ajouter les sites à protéger (domain ou upstream service), le WAF s'intercale en reverse proxy
- Activer la **détection sémantique** (engine maison Chaitin) en plus des règles OWASP CRS si activé
- Brancher l'API Slack / Webhook / Telegram pour recevoir les alertes en temps réel

## 🔀 Alternatives

**Open source** :
- BunkerWeb (NGINX + ModSecurity + UI moderne, Python)
- ModSecurity (moteur historique, CRS OWASP)
- Coraza (WAF Go, compatible ModSecurity, super-performant)
- CrowdSec (fail2ban collaboratif, complément à un WAF)
- Naxsi (WAF NGINX natif, scoring)

**Propriétaires** :
- Cloudflare WAF (SaaS leader mondial)
- AWS WAF (WAF managé Amazon, intégré à CloudFront/ALB)
- Imperva WAF, F5 BIG-IP AWAF (enterprise, appliance)

## 🔒 Sécurité

- Console d'admin par défaut exposée en HTTPS sur le port 9443, à placer derrière un reverse proxy avec auth forte
- Changer immédiatement le mot de passe admin par défaut
- Isoler SafeLine sur un réseau Docker dédié : il est en coupure réseau sur les flux applicatifs, donc critique

## 📚 Ressources

- [selfh.st/apps/?search=safeline](https://selfh.st/apps/?search=safeline)
- [GitHub](https://github.com/chaitin/SafeLine)
- [Site officiel](https://ly.safepoint.cloud/fUxS0GW)

## 🔗 Pages Liées

- [[cat-firewall]] — Catégorie firewall
- [[Catalogue-Self-Hosted]] — Hub principal