falco ダウンロード - falco ソースコードのダウンロード

ファルコ

その他のソースコード

0.39.1

ダウンロード

ファルコ

Falco は、Linux オペレーティングシステム用のクラウドネイティブランタイムセキュリティツールです。異常な動作や潜在的なセキュリティ脅威をリアルタイムで検出し、警告するように設計されています。

Falco の核心は、カスタムルールに基づいて syscall などのイベントを監視するカーネル監視および検出エージェントです。 Falco は、コンテナーランタイムと Kubernetes からのメタデータを統合することで、これらのイベントを強化できます。収集されたイベントは、SIEM またはデータレイクシステムでオフホストで分析できます。

Falco は、もともと Sysdig によって作成されたもので、Cloud Native Computing Foundation (CNCF) の下で段階的に作成されたプロジェクトであり、さまざまな組織による運用に使用されています。

Falco が検出できるサイバー脅威に関する詳細な技術情報と洞察については、Falco の公式 Web サイトをご覧ください。

プロジェクトの最新の更新と変更に関する包括的な情報については、変更ログを参照してください。さらに、Falco の新しいバージョンを配信するためのリリースプロセスを文書化しました。

Falco Repo: Falco プロジェクトの中核を強化する

これは、Falco バイナリを構築するためのソースコードを含むメインの Falco リポジトリです。このリポジトリは、そのライブラリと falco.yaml 設定ファイルを利用することで、Falco の機能の基盤を形成します。 Falco リポジトリは、次のコアリポジトリと密接に相互接続されています。

falcosecurity/libs: Falco のライブラリは基本的な操作の鍵であり、Falco バイナリのソースコードの大部分を構成し、カーネルドライバーなどの重要な機能を提供します。
falcosecurity/rules: Falco の公式ルールセットが含まれており、さまざまなセキュリティ脅威や異常な動作に対する事前定義された検出ルールを提供します。
falcosecurity/plugins: Falco プラグインは、外部サービスとの統合を促進し、syscall やコンテナイベントを超えて Falco の機能を拡張し、将来のリリースで特殊な機能で進化するように設計されています。
falcosecurity/falcoctl: Falco を管理および対話するためのコマンドラインユーティリティ。

詳細については、Falco プロジェクトの公式ハブである falcosecurity/evolution をご覧ください。プロジェクトのリポジトリに関する貴重な洞察と情報を提供します。

ファルコを始める

公式ドキュメントを注意深く確認し、それに従ってください。

Falco 採用者向けの考慮事項とガイダンス:

依存関係を理解する: Falco を実行する環境を評価し、カーネルのバージョンとアーキテクチャを検討します。
脅威検出の目的を定義する: 検出したい脅威を明確に特定し、Falco の強みと限界を評価します。
パフォーマンスとコストを考慮する: コンピューティングパフォーマンスのオーバーヘッドを評価し、システム管理者または SRE と調整します。それに応じて予算を立てます。
ビルドとカスタマイズのアプローチを選択する: オープンソースの Falco ビルドを使用するか、カスタムビルドパイプラインを作成するかを決定します。独自のテストやアプローチを組み込むなど、必要に応じて構築および展開のプロセスをカスタマイズして、迅速な展開サイクルで回復力のある展開を確保します。
出力先との統合: Falco を SIEM、データレイクシステム、またはその他の優先出力先と統合して、包括的なデータ分析のための堅牢な基盤を確立し、効果的なインシデント対応ワークフローを可能にします。

デモ環境

デモ環境は、falco、falcosidekick、falcosidekick-ui およびそれに必要な redis データベースを含む docker ホスト上で起動できる docker-compose ファイルを介して提供されます。詳細については、docker-compose セクションを参照してください。

貢献方法

貢献方法の詳細については、貢献ガイドと行動規範を参照してください。

コミュニティに参加する

Falco プロジェクトに参加するには、コミュニティリポジトリにアクセスして、詳細情報と参加方法を見つけてください。

Falco または貢献についてご質問がある場合は、お気軽に問題を提出するか、Falco のメンテナーやコミュニティメンバーに連絡して支援を求めてください。

どのように手を差し伸べるのか？

Kubernetes Slack の #falco チャンネルに参加してください。
Falco メーリングリストに参加してください。
問題を報告するか、機能リクエストを行ってください。

Falco 独自のセキュリティへの取り組み

さまざまなセキュリティ監査の完全なレポートは、ここでご覧いただけます。

さらに、セキュリティアドバイザリとポリシーの詳細な更新については、falco および libs のセキュリティセクションを参照してください。

セキュリティの脆弱性を報告するには、ここにあるドキュメントに概要が記載されているコミュニティプロセスに従ってください。

ファルコの次は何でしょうか？

Falco ロードマップを探索することで、進化する Falco の機能に関する最新情報を入手してください。Falco ロードマップでは、現在開発中および将来のリリースで計画されている機能についての洞察が得られます。

ライセンス

Falco は、Apache 2.0 オープンソースライセンスに基づいてライセンス供与されています。

テスト

テスト手順を展開する

Falco の Build Falco from source は、ソースから Falco をビルドする方法を理解するための頼りになるリソースです。さらに、falcosecurity/libs リポジトリは、Falco の基礎となるライブラリとカーネルドライバーのテストとデバッグに関する追加の貴重な情報を提供します。

このリポジトリのすべての単体テストに必要なものをすべて有効にするcmakeコマンドの例を次に示します。

cmake 
-DUSE_BUNDLED_DEPS=ON 
-DBUILD_LIBSCAP_GVISOR=ON 
-DBUILD_BPF=ON 
-DBUILD_DRIVER=ON 
-DBUILD_FALCO_MODERN_BPF=ON 
-DCREATE_TEST_TARGETS=ON 
-DBUILD_FALCO_UNIT_TESTS=ON .. ;

単体テストスイートを構築して実行します。

nproc= $( grep processor /proc/cpuinfo | tail -n 1 | awk ' {print $3} ' ) ;
make -j $(( $nproc - 1 )) falco_unit_tests ;
# Run the tests
sudo ./unit_tests/falco_unit_tests ;

必要に応じて、選択したドライバーをビルドし、Falco バイナリをテスト実行して手動テストを実行します。

最後に、Falco プロジェクトは、Falco 回帰テストを falcosecurity/testing に移動しました。

Falco が Go や {言語} ではなく C++ を使用しているのはなぜですか?

情報を展開する

Falco のベースにあるコードの最初の行は少し前に書かれたもので、当時は Go がまだ今日と同じレベルの成熟度や採用度を持っていませんでした。
Falco 実行モデルは、ツールのステートフル性要件によりシーケンシャルかつモノスレッドであるため、Go ランタイムの並行性関連のセールスポイントのほとんどはまったく活用されません。
Falco コードは多くの場所で非常に低レベルのプログラミングを扱っています (たとえば、一部のヘッダーは eBPF プローブとカーネルモジュールと共有されています)。Go と C のインターフェイスは可能ですが、多くの複雑さとトレードオフをもたらすことは誰もが知っています。。
Falco は、1 秒あたりの非常に高いスループットのイベントを消費することを目的としたセキュリティツールとして、実行時にすべてのホットパスのパフォーマンスを絞り込む必要があり、メモリ割り当ての詳細な制御が必要ですが、Go ランタイムでは提供できません (ガベージコレクションも含まれます)。。
Go は Falco のコアのエンジニアリング要件には適合しませんでしたが、それでも、プラグインシステムを通じて Falco 拡張機能を作成するための良い候補になる可能性があると考えました。これが、plugin-sdk-go の開発に特別な注意を払い、高い優先度を置いた主な理由です。
Go は静的にリンクされたバイナリを持つための要件ではありません。実際、私たちは数年前から完全に静的な Falco ビルドを提供しています。これらの唯一の問題は、現在使用している現在のダイナミックライブラリモデルではプラグインシステムをサポートできないことです。
プラグインシステムは複数の言語をサポートすることを想定しているため、言語間の互換性を最大限に確保するには、C 互換のコードベースを維持することが最善の戦略となります。
一般に、プラグインには動的読み込みに必要な低レベルの C バインディングがあるため、GLIBC 要件/依存関係があります。将来の潜在的な解決策は、コンパイル時に静的にリンクされるプラグインをサポートし、Falco バイナリにバンドルされてリリースされることです。この方向での作業はまだ開始されていませんが、これにより、報告されたほとんどの問題が解決され、完全に静的なバイナリも提供されます。もちろん、これは動的読み込みとは互換性がなくなりましたが、Falco の静的ビルドフレーバーにとっては実行可能なソリューションになる可能性があります。
メモリの安全性は間違いなく懸念事項であり、C++ は非常にエラーが発生しやすいにもかかわらず、高レベルの品質を維持するために最善を尽くしています。たとえば、可能な限りスマートポインターを使用するように努め、CI でアドレスサニタイザーを使用してライブラリを構築し、各リリース前に Valgrind を介して Falco を実行し、パフォーマンスの低下や異常なメモリ使用量を検出するためにストレステストを行う方法を用意しています (例: https://github.com/falcosecurity/event-generator)。それに加えて、サードパーティによるコードベースの監査も随時行っています。もちろん、これらは安全性の観点から完全なものではありませんが、私たちは可能性を最大限に高めるよう努めています。この観点から見ると、Go は間違いなく私たちの生活を楽にしてくれますが、上記の点のため、これまでのところトレードオフがその価値を生むことはありません。
Falco の中核である falcosecurity/libs の C++ コードベースは非常に大きく複雑です。そのすべてのコードを別の言語に移植することは、多くの開発リソースを必要とする大規模な作業となり、失敗や回帰の可能性が高くなります。そのため、これまでの私たちのアプローチは、コードのその部分の安定性、品質、モジュール性が最適なレベルに達するまで、代わりにリファクタリングとコードの研磨を選択することでした。これにより、将来的にはさらなる開発がよりスムーズかつ実現可能になるでしょう。