หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

ฟัลโก

Falco เป็นเครื่องมือรักษาความปลอดภัยรันไทม์บนคลาวด์สำหรับระบบปฏิบัติการ Linux ได้รับการออกแบบมาเพื่อตรวจจับและแจ้งเตือนพฤติกรรมที่ผิดปกติและภัยคุกคามความปลอดภัยที่อาจเกิดขึ้นแบบเรียลไทม์

โดยพื้นฐานแล้ว Falco คือเอเจนต์การตรวจสอบและตรวจจับเคอร์เนลที่สังเกตเหตุการณ์ เช่น syscalls ตามกฎที่กำหนดเอง Falco สามารถปรับปรุงเหตุการณ์เหล่านี้ได้โดยการผสานรวมข้อมูลเมตาจากรันไทม์ของคอนเทนเนอร์และ Kubernetes เหตุการณ์ที่รวบรวมไว้สามารถวิเคราะห์นอกโฮสต์ได้ใน SIEM หรือระบบ Data Lake

Falco ซึ่งสร้างสรรค์ครั้งแรกโดย Sysdig เป็น โปรเจ็กต์สำเร็จการศึกษา ภายใต้ Cloud Native Computing Foundation (CNCF) ที่ใช้ในการผลิตโดยองค์กรต่างๆ

สำหรับข้อมูลทางเทคนิคโดยละเอียดและข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามทางไซเบอร์ที่ Falco สามารถตรวจจับได้ โปรดไปที่เว็บไซต์อย่างเป็นทางการของ Falco

สำหรับข้อมูลที่ครอบคลุมเกี่ยวกับการอัปเดตล่าสุดและการเปลี่ยนแปลงของโปรเจ็กต์ โปรดดูที่บันทึกการเปลี่ยนแปลง นอกจากนี้เรายังได้จัดทำเอกสารกระบวนการเผยแพร่สำหรับการส่งมอบ Falco เวอร์ชันใหม่

Falco Repo: ขับเคลื่อนแกนหลักของโครงการ Falco

นี่คือพื้นที่เก็บข้อมูลหลักของ Falco ซึ่งมีซอร์สโค้ดสำหรับสร้างไบนารีของ Falco พื้นที่เก็บข้อมูลนี้เป็นรากฐานของฟังก์ชันการทำงานของ Falco ด้วยการใช้ libs และไฟล์การกำหนดค่า falco.yaml พื้นที่เก็บข้อมูล Falco เชื่อมโยงอย่างใกล้ชิดกับพื้นที่เก็บข้อมูล หลัก ต่อไปนี้:

  • falcosecurity/libs: ไลบรารีของ Falco เป็นกุญแจสำคัญในการดำเนินการขั้นพื้นฐาน โดยประกอบขึ้นเป็นสัดส่วนที่มากขึ้นของซอร์สโค้ดของไบนารี Falco และมอบคุณสมบัติที่จำเป็น เช่น ไดรเวอร์เคอร์เนล
  • falcosecurity/กฎ: ประกอบด้วยชุดกฎอย่างเป็นทางการสำหรับ Falco ซึ่งให้กฎการตรวจจับที่กำหนดไว้ล่วงหน้าสำหรับภัยคุกคามความปลอดภัยต่างๆ และพฤติกรรมที่ผิดปกติ
  • falcosecurity/ปลั๊กอิน: ปลั๊กอิน Falco อำนวยความสะดวกในการบูรณาการกับบริการภายนอก ขยายขีดความสามารถของ Falco นอกเหนือจาก syscalls และเหตุการณ์คอนเทนเนอร์ และได้รับการออกแบบเพื่อพัฒนาด้วยฟังก์ชันพิเศษในการเปิดตัวในอนาคต
  • falcosecurity/falcoctl: ยูทิลิตี้บรรทัดคำสั่งสำหรับการจัดการและการโต้ตอบกับ Falco

สำหรับข้อมูลเพิ่มเติม โปรดเยี่ยมชมศูนย์กลางอย่างเป็นทางการของ The Falco Project: falcosecurity/evolution โดยให้ข้อมูลเชิงลึกและข้อมูลอันมีค่าเกี่ยวกับแหล่งเก็บข้อมูลของโครงการ

เริ่มต้นใช้งานฟัลโก

ตรวจสอบและปฏิบัติตามเอกสารอย่างเป็นทางการอย่างรอบคอบ

ข้อควรพิจารณาและคำแนะนำสำหรับผู้ใช้ Falco:

  1. ทำความเข้าใจการพึ่งพา: ประเมินสภาพแวดล้อมที่คุณจะเรียกใช้ Falco และพิจารณาเวอร์ชันเคอร์เนลและสถาปัตยกรรม

  2. กำหนดวัตถุประสงค์การตรวจจับภัยคุกคาม: ระบุภัยคุกคามที่คุณต้องการตรวจจับอย่างชัดเจน และประเมินจุดแข็งและข้อจำกัดของ Falco

  3. พิจารณาประสิทธิภาพและต้นทุน: ประเมินค่าใช้จ่ายด้านประสิทธิภาพการประมวลผลและสอดคล้องกับผู้ดูแลระบบหรือ SRE งบประมาณตามนั้น

  4. เลือกวิธีการสร้างและการปรับแต่ง: ตัดสินใจระหว่างการสร้าง Falco แบบโอเพ่นซอร์สหรือการสร้างไปป์ไลน์การสร้างแบบกำหนดเอง ปรับแต่งกระบวนการสร้างและปรับใช้ตามความจำเป็น รวมถึงการผสานรวมการทดสอบหรือแนวทางเฉพาะ เพื่อให้มั่นใจว่าการปรับใช้มีความยืดหยุ่นด้วยวงจรการปรับใช้ที่รวดเร็ว

  5. ผสานรวมกับปลายทางเอาท์พุต: ผสานรวม Falco เข้ากับ SIEM, ระบบ Data Lake หรือปลายทางเอาต์พุตอื่นที่ต้องการ เพื่อสร้างรากฐานที่แข็งแกร่งสำหรับการวิเคราะห์ข้อมูลที่ครอบคลุม และเปิดใช้งานเวิร์กโฟลว์การตอบสนองต่อเหตุการณ์ที่มีประสิทธิภาพ

สภาพแวดล้อมการสาธิต

สภาพแวดล้อมสาธิตมีให้ผ่านไฟล์นักเทียบท่าที่สามารถเริ่มต้นได้บนโฮสต์นักเทียบท่าซึ่งรวมถึง falco, falcosidekick, falcosidekick-ui และฐานข้อมูล Redis ที่จำเป็น สำหรับข้อมูลเพิ่มเติม โปรดดูส่วนการเขียนนักเทียบท่า

วิธีการมีส่วนร่วม

โปรดดูคู่มือการบริจาคและหลักปฏิบัติสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการมีส่วนร่วม

เข้าร่วมชุมชน

หากต้องการมีส่วนร่วมกับโครงการ Falco โปรดไปที่พื้นที่เก็บข้อมูลของชุมชนเพื่อค้นหาข้อมูลเพิ่มเติมและวิธีการมีส่วนร่วม

หากคุณมีคำถามใดๆ เกี่ยวกับ Falco หรือการมีส่วนร่วม อย่าลังเลที่จะยื่นเรื่องหรือติดต่อผู้ดูแล Falco และสมาชิกชุมชนเพื่อขอความช่วยเหลือ

จะติดต่อได้อย่างไร?

  • เข้าร่วมช่อง #falco บน Kubernetes Slack
  • เข้าร่วมรายชื่อผู้รับจดหมายของ Falco
  • แจ้งปัญหาหรือขอคุณสมบัติ

ความมุ่งมั่นต่อความปลอดภัยของ Falco

สามารถดูรายงานการตรวจสอบความปลอดภัยต่างๆ ฉบับเต็มได้ที่นี่

นอกจากนี้ คุณสามารถดูส่วนความปลอดภัยของ falco และ libs สำหรับการอัปเดตโดยละเอียดเกี่ยวกับคำแนะนำและนโยบายด้านความปลอดภัย

หากต้องการรายงานช่องโหว่ด้านความปลอดภัย โปรดปฏิบัติตามกระบวนการของชุมชนที่ระบุไว้ในเอกสารประกอบที่พบได้ที่นี่

ฟัลโกจะเป็นยังไงต่อไป?

ติดตามข่าวสารล่าสุดเกี่ยวกับความสามารถที่พัฒนาของ Falco โดยการสำรวจ Falco Roadmap ซึ่งให้ข้อมูลเชิงลึกเกี่ยวกับฟีเจอร์ต่างๆ ที่กำลังอยู่ระหว่างการพัฒนาและวางแผนไว้สำหรับการเปิดตัวในอนาคต

ใบอนุญาต

Falco ได้รับสิทธิ์การใช้งานแก่คุณภายใต้สิทธิ์การใช้งานโอเพ่นซอร์ส Apache 2.0

การทดสอบ

ขยายคำแนะนำในการทดสอบ

Build Falco จากแหล่งที่มาของ Falco เป็นแหล่งข้อมูลที่เข้าใจถึงวิธีสร้าง Falco จากแหล่งที่มา นอกจากนี้ พื้นที่เก็บข้อมูล falcosecurity/libs ยังนำเสนอข้อมูลที่เป็นประโยชน์เพิ่มเติมเกี่ยวกับการทดสอบและการดีบักไลบรารีและไดรเวอร์เคอร์เนลพื้นฐานของ Falco

นี่คือตัวอย่างของคำสั่ง cmake ที่จะเปิดใช้งานทุกสิ่งที่คุณต้องการสำหรับการทดสอบหน่วยทั้งหมดของที่เก็บนี้: 

cmake 
-DUSE_BUNDLED_DEPS=ON 
-DBUILD_LIBSCAP_GVISOR=ON 
-DBUILD_BPF=ON 
-DBUILD_DRIVER=ON 
-DBUILD_FALCO_MODERN_BPF=ON 
-DCREATE_TEST_TARGETS=ON 
-DBUILD_FALCO_UNIT_TESTS=ON .. ;

สร้างและรันชุดทดสอบหน่วย: 

nproc= $( grep processor /proc/cpuinfo | tail -n 1 | awk ' {print $3} ' ) ;
make -j $(( $nproc - 1 )) falco_unit_tests ;
# Run the tests
sudo ./unit_tests/falco_unit_tests ;

หรือสร้างไดรเวอร์ที่คุณเลือกและทดสอบการใช้งานไบนารี่ของ Falco เพื่อทำการทดสอบด้วยตนเอง

สุดท้ายนี้ โครงการ Falco ได้ย้ายการทดสอบการถดถอยของ Falco ไปเป็น falcosecurity/testing


เหตุใด Falco ในภาษา C ++ แทนที่จะเป็น Go หรือ {ภาษา}

ขยายข้อมูล
  1. บรรทัดแรกของโค้ดที่ฐานของ Falco ถูกเขียนขึ้นเมื่อไม่นานมานี้ โดยที่ Go ยังไม่มีวุฒิภาวะและการนำไปใช้ในระดับเดียวกับปัจจุบัน
  2. โมเดลการดำเนินการของ Falco เป็นแบบต่อเนื่องและเป็นโมโนเธรด เนื่องจากข้อกำหนดสถานะของเครื่องมือ ดังนั้นจุดขายที่เกี่ยวข้องกับการทำงานพร้อมกันส่วนใหญ่ของรันไทม์ Go จะไม่ถูกใช้ประโยชน์เลย
  3. รหัส Falco เกี่ยวข้องกับการเขียนโปรแกรมระดับต่ำมากในหลาย ๆ ที่ (เช่น ส่วนหัวบางส่วนแชร์กับโพรบ eBPF และโมดูลเคอร์เนล) และเราทุกคนรู้ดีว่าการเชื่อมต่อ Go กับ C นั้นเป็นไปได้ แต่นำความซับซ้อนและการแลกเปลี่ยนมากมายมาสู่ตาราง .
  4. เนื่องจากเป็นเครื่องมือรักษาความปลอดภัยที่ต้องการใช้ปริมาณงานต่อวินาทีที่สูงมาก Falco จึงต้องบีบประสิทธิภาพในเส้นทางลัดทั้งหมด ณ รันไทม์ และต้องการการควบคุมเชิงลึกในการจัดสรรหน่วยความจำ ซึ่งรันไทม์ Go ไม่สามารถให้ได้ (ยังมีการรวบรวมขยะที่เกี่ยวข้องด้วย) .
  5. แม้ว่า Go จะไม่เหมาะกับข้อกำหนดทางวิศวกรรมของแกนหลักของ Falco แต่เราก็ยังคิดว่ามันอาจเป็นตัวเลือกที่ดีสำหรับการเขียนส่วนขยาย Falco ผ่านระบบปลั๊กอิน นี่คือเหตุผลหลักที่เราให้ความสนใจเป็นพิเศษและให้ความสำคัญเป็นอย่างสูงต่อการพัฒนา Plug-in-sdk-go
  6. Go ไม่ใช่ข้อกำหนดสำหรับการมีไบนารีที่เชื่อมโยงแบบคงที่ อันที่จริง เราให้บริการ Falco builds แบบคงที่เต็มรูปแบบตั้งแต่ไม่กี่ปีมานี้ ปัญหาเดียวของสิ่งเหล่านั้นคือระบบปลั๊กอินไม่สามารถรองรับโมเดลไลบรารีไดนามิกปัจจุบันที่เรามีอยู่ได้
  7. ระบบปลั๊กอินได้รับการออกแบบให้รองรับหลายภาษา ดังนั้น ในส่วนของเรา การรักษาฐานโค้ดที่เข้ากันได้กับ C จึงเป็นกลยุทธ์ที่ดีที่สุดในการรับประกันความเข้ากันได้ข้ามภาษาสูงสุด
  8. โดยทั่วไป ปลั๊กอินมีข้อกำหนด/การขึ้นต่อกันของ GLIBC เนื่องจากมีการเชื่อมโยง C ระดับต่ำที่จำเป็นสำหรับการโหลดแบบไดนามิก วิธีแก้ปัญหาที่เป็นไปได้สำหรับอนาคตอาจเป็นการรองรับปลั๊กอินที่จะเชื่อมโยงแบบคงที่ในเวลารวบรวมและเผยแพร่โดยรวมอยู่ในไบนารีของ Falco แม้ว่าจะยังไม่มีงานใดที่เริ่มต้นในทิศทางนี้ แต่วิธีนี้จะช่วยแก้ปัญหาส่วนใหญ่ที่คุณรายงานได้ และจะให้ไบนารีแบบคงที่ทั้งหมดด้วย แน่นอนว่าสิ่งนี้คงเข้ากันไม่ได้กับการโหลดแบบไดนามิกอีกต่อไป แต่อาจเป็นโซลูชันที่ใช้ได้สำหรับ Falco เวอร์ชันสร้างคงที่ของเรา
  9. ความปลอดภัยของหน่วยความจำเป็นเรื่องที่น่ากังวลอย่างแน่นอน และเราพยายามอย่างดีที่สุดเพื่อรักษาคุณภาพในระดับสูง แม้ว่า C++ ค่อนข้างจะเกิดข้อผิดพลาดได้ง่ายก็ตาม ตัวอย่างเช่น เราพยายามใช้พอยน์เตอร์อัจฉริยะทุกครั้งที่เป็นไปได้ เราสร้างไลบรารี่ด้วยโปรแกรมกำจัดที่อยู่ใน CI ของเรา เรารัน Falco ผ่าน Valgrind ก่อนการเปิดตัวแต่ละครั้ง และมีวิธีทดสอบความเครียดเพื่อตรวจจับการถดถอยของประสิทธิภาพหรือการใช้หน่วยความจำแปลกๆ ( เช่น https://github.com/falcosecurity/event-generator) ยิ่งไปกว่านั้น เรายังมีบุคคลที่สามที่ตรวจสอบโค้ดเบสเป็นครั้งคราว สิ่งเหล่านี้ไม่ได้สร้างจุดยืนด้านความปลอดภัยที่สมบูรณ์แบบ แต่เราพยายามเพิ่มโอกาสให้สูงสุด Go จะทำให้ชีวิตของเราง่ายขึ้นอย่างแน่นอนจากมุมมองนี้ อย่างไรก็ตาม ข้อดีข้อเสียไม่เคยทำให้คุ้มค่าเลยจนถึงตอนนี้เนื่องจากประเด็นข้างต้น
  10. โค้ดเบส C++ ของ falcosecurity/libs ซึ่งเป็นหัวใจหลักของ Falco มีขนาดค่อนข้างใหญ่และซับซ้อน การย้ายโค้ดทั้งหมดไปยังภาษาอื่นจะเป็นความพยายามสำคัญที่ต้องใช้ทรัพยากรในการพัฒนาจำนวนมาก และมีโอกาสเกิดความล้มเหลวและการถดถอยสูง ด้วยเหตุนี้ แนวทางของเราจนถึงตอนนี้คือการเลือกตัวสร้างใหม่และการขัดเกลาโค้ดแทน จนกระทั่งเราจะไปถึงระดับความเสถียร คุณภาพ และความเป็นโมดูลที่เหมาะสมที่สุดในส่วนของโค้ดนั้น ซึ่งจะช่วยให้การพัฒนาเพิ่มเติมมีความราบรื่นและเป็นไปได้มากขึ้นในอนาคต

ทรัพยากร

  • ธรรมาภิบาล
  • หลักจรรยาบรรณ
  • แนวทางการดูแล
  • รายชื่อผู้ดูแล
  • แนวทางการจัดเก็บ
  • รายการพื้นที่เก็บข้อมูล
  • รายชื่อผู้รับบุตรบุญธรรม
  • ติดตั้งและใช้งาน
  • การแก้ไขปัญหา
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด
ความคิดเห็นจากผู้ใช้