Sysdig将Falco的内核模块、eBPF探针和库贡献给CNCF
Sysdig将Falco的内核模块、eBPF探针和库贡献给CNCF
今天,我很兴奋地宣布sysdig内核模块、eBPF探针和库贡献给CNCF。这些组件的源代码将转移到Falco组织,并托管在falcosecurity github仓库[2]中。
这些组件是Falco[3]的基础,Falco是用于运行时安全的CNCF工具,也是云中的威胁检测事实上的标准。它们也是sysdig[4]的基础,sysdig是广泛采用的用于容器取证和事件响应的开源工具。
这是一个重要的里程碑。这意味着从现在起,Falco堆栈的所有核心组件都将成为CNCF的一部分。
这到底是什么?
让我们从一个展示Falco和开源sysdig基础上的主要组件的图表开始:
Falco和sysdig在同一个数据源上操作:系统调用。这个数据源是使用内核模块或eBPF探针收集的。这两种方法在功能上是相同的,但内核模块的效率要高一些,而eBPF方法更安全、更现代。
在被sysdig或Falco使用之前,需要对收集的数据进行充实一下(例如,需要将文件描述符编号转换为文件名或IP地址)。这是由libsinsp和libscap两个库完成的。
上图中的绿色框标识了CNCF以前拥有的内容。这包括让Falco工作的组件,但不包括收集数据的组件。这种分离的原因是,数据收集模块最初是为sysdig开发的,它们留在了它的仓库中,而Falco(和其他工具)将它们视为外部依赖项。
由于这一捐赠,图表发生了这样的变化:
libsinsp、libscap、内核模块和eBPF探针已经重新许可(relicensed),现在属于CNCF。它们将在falcosecurity组织[5]下的一个独立仓库中,它们的许可和管理将受到CNCF社区原则的指导。
为什么这很重要?
Sysdig从一开始就致力于开源,并坚信安全的未来是开放的。我们产品背后的核心技术从一开始就是开源软件。今天,我们朝着确保遵守我们的原则又迈出了一大步。我们特别想确保Falco是完全自由的,并且由社区所有。
这一贡献完成了这项工作。它花了一些时间(Falco于2018年10月加入CNCF),因为它涉及分离原先属于sysdig的组件并使它们独立。
真正让我兴奋的是,我们正在使用一组非常强大的构建块,并将它们放到云原生社区的手中。除其他外,我们正在讨论的是:
- 在Linux内核中安全实现复杂且非常高效的系统调用捕获框架的eBPF脚本,可能是这个星球上最雄心勃勃的、最复杂的eBPF脚本[6]
- 一个完全支持捕获文件抽象[7]的系统调用捕获库。
- 一个实战测试过的,70K多行代码内核事件充实库[8]。
这些组件是运行时安全性、故障排除、事件响应、取证和许多其他领域工具的完美基础。我相信社区会接受它们,并在它们之上提出一些非常酷的工具。我自己也有一些有趣的想法,想很快向社区展示。?
阅读Leonardo Di Donato和Leonardo Grasso的分享[9]。作为Falco的两名维护者,他们认为这一贡献不仅将帮助Falco用户,也将帮助其他项目拥有更安全的云原生环境。
你怎么能参与使用?
如果你想了解更多关于Falco的信息:
- 从Falco.org[10]开始。
- 在GitHub上查看Falco项目[11]。
- 参与Falco社区[12]。
- 在Falco Slack[13]上与维护者交流。
- 在Twitter上关注@falco_org[14]。
我希望你在使用它时能像我们构建它时一样感到愉快。
记住:欢迎PR!
参考资料
[1]
Sysdig博客: https://sysdig.com/blog/sysdig-contributes-falco-kernel-ebpf-cncf/
[2]
falcosecurity github仓库: https://github.com/falcosecurity
[3]
Falco: http://falco.org/
[4]
sysdig: https://github.com/draios/sysdig
[5]
falcosecurity组织: https://github.com/falcosecurity
[6]
可能是这个星球上最雄心勃勃的、最复杂的eBPF脚本: https://github.com/falcosecurity/libs/tree/master/driver/bpf
[7]
完全支持捕获文件抽象: https://github.com/falcosecurity/libs/tree/master/userspace/libscap
[8]
内核事件充实库: https://github.com/falcosecurity/libs/tree/master/userspace/libsinsp
[9]
阅读Leonardo Di Donato和Leonardo Grasso的分享: https://falco.org/blog/contribution-drivers-kmod-ebpf-libraries/
[10]
Falco.org: http://falco.org/
[11]
Falco项目: https://github.com/falcosecurity/falco
[12]
Falco社区: https://falco.org/community/
[13]
Falco Slack: https://kubernetes.slack.com/?redir=%2Farchives%2FCMWH3EH32
[14]
Twitter上关注@falco_org: https://twitter.com/falco_org