falco下载 - falco源码下载

法尔科

其他源码

0.39.1

下载

法尔科

Falco 是一款适用于 Linux 操作系统的云原生运行时安全工具。它旨在实时检测异常行为和潜在安全威胁并发出警报。

Falco 的核心是一个内核监控和检测代理，它根据自定义规则观察系统调用等事件。 Falco 可以通过集成来自容器运行时和 Kubernetes 的元数据来增强这些事件。收集到的事件可以在 SIEM 或数据湖系统中进行脱离主机分析。

Falco 最初由 Sysdig 创建，是云原生计算基金会 (CNCF) 下的一个毕业项目，被多个组织用于生产。

有关 Falco 可以检测到的网络威胁的详细技术信息和见解，请访问 Falco 官方网站。

有关项目最新更新和更改的全面信息，请参阅更改日志。此外，我们还记录了交付新版本 Falco 的发布流程。

Falco Repo：为 Falco 项目的核心提供动力

这是主要的 Falco 存储库，其中包含用于构建 Falco 二进制文件的源代码。通过利用其库和 falco.yaml 配置文件，该存储库构成了 Falco 功能的基础。 Falco 存储库与以下核心存储库紧密互连：

falcosecurity/libs：Falco 的库是其基本操作的关键，构成了 Falco 二进制源代码的大部分，并提供了内核驱动程序等基本功能。
falcosecurity/rules：包含Falco官方规则集，为各种安全威胁和异常行为提供预定义的检测规则。
falcosecurity/插件：Falco 插件促进与外部服务的集成，将 Falco 的功能扩展到系统调用和容器事件之外，并设计为在未来版本中随着专门功能的发展而发展。
falcosecurity/falcoctl：用于管理 Falco 并与之交互的命令行实用程序。

欲了解更多信息，请访问 Falco 项目的官方中心：falcosecurity/evolution。它提供了有关项目存储库的宝贵见解和信息。

开始使用 Falco

仔细查看并遵循官方文档。

Falco 采用者的注意事项和指导：

了解依赖关系：评估运行 Falco 的环境并考虑内核版本和架构。
定义威胁检测目标：清楚地识别您想要检测的威胁并评估 Falco 的优势和局限性。
考虑性能和成本：评估计算性能开销并与系统管理员或 SRE 保持一致。相应地进行预算。
选择构建和自定义方法：在开源 Falco 构建或创建自定义构建管道之间做出选择。根据需要自定义构建和部署过程，包括合并独特的测试或方法，以确保快速部署周期的弹性部署。
与输出目的地集成：将 Falco 与 SIEM、数据湖系统或其他首选输出目的地集成，为全面数据分析奠定坚实的基础，并实现有效的事件响应工作流程。

演示环境

通过 docker-compose 文件提供了一个演示环境，该文件可以在 docker 主机上启动，其中包括 falco、falcosidekick、falcosidekick-ui 及其所需的 redis 数据库。有关更多信息，请参阅 docker-compose 部分

如何贡献

有关如何贡献的更多信息，请参阅贡献指南和行为准则。

加入社区

要参与 Falco 项目，请访问社区存储库以查找更多信息和参与方式。

如果您对 Falco 或贡献有任何疑问，请随时提出问题或联系 Falco 维护者和社区成员寻求帮助。

如何伸出援手？

加入 Kubernetes Slack 上的 #falco 频道。
加入 Falco 邮件列表。
提出问题或提出功能请求。

对 Falco 自身安全的承诺

您可以在此处找到各种安全审核的完整报告。

此外，您可以参考 falco 和 libs 安全部分，了解安全建议和策略的详细更新。

要报告安全漏洞，请遵循此处文档中概述的社区流程。

法尔科的下一步是什么？

通过探索 Falco 路线图，了解 Falco 不断发展的功能，该路线图提供了对当前正在开发和计划未来版本的功能的深入了解。

执照

Falco 根据 Apache 2.0 开源许可证授权给您。

测试

展开测试说明

Falco 的从源代码构建 Falco 是了解如何从源代码构建 Falco 的首选资源。此外，falcosecurity/libs 存储库还提供有关 Falco 底层库和内核驱动程序的测试和调试的其他有价值的信息。

以下是cmake命令的示例，它将启用此存储库的所有单元测试所需的一切：

cmake 
-DUSE_BUNDLED_DEPS=ON 
-DBUILD_LIBSCAP_GVISOR=ON 
-DBUILD_BPF=ON 
-DBUILD_DRIVER=ON 
-DBUILD_FALCO_MODERN_BPF=ON 
-DCREATE_TEST_TARGETS=ON 
-DBUILD_FALCO_UNIT_TESTS=ON .. ;

构建并运行单元测试套件：

nproc= $( grep processor /proc/cpuinfo | tail -n 1 | awk ' {print $3} ' ) ;
make -j $(( $nproc - 1 )) falco_unit_tests ;
# Run the tests
sudo ./unit_tests/falco_unit_tests ;

或者，构建您选择的驱动程序并测试运行 Falco 二进制文件以执行手动测试。

最后，Falco 项目已将其 Falco 回归测试转移到 falcosecurity/testing。

为什么 Falco 使用 C++，而不是 Go 或 {语言}？

展开信息

Falco 基础上的第一行代码是不久前编写的，当时 Go 还没有像今天这样成熟和采用。
由于工具的状态性要求，Falco 执行模型是顺序的和单线程的，因此 Go 运行时的大多数与并发相关的卖点根本不会被利用。
Falco 代码在许多地方处理非常低级的编程（例如，一些标头与 eBPF 探针和内核模块共享），我们都知道 Go 与 C 的接口是可能的，但会带来大量的复杂性和权衡。
作为一个每秒消耗极高的事件吞吐量的安全工具，Falco 需要在运行时压缩所有热路径的性能，并需要对内存分配进行深度控制，这是 Go 运行时无法提供的（还涉及垃圾收集）。
尽管Go不适合Falco核心的工程要求，但我们仍然认为它可能是通过插件系统编写Falco扩展的良好候选者。这是我们特别关注和高度重视plugin-sdk-go开发的主要原因。
Go 并不要求拥有静态链接的二进制文件。事实上，我们几年前就提供了全静态的 Falco 版本。唯一的问题是我们当前的动态库模型不支持插件系统。
插件系统被设想为支持多种语言，因此在我们看来，维护 C 兼容的代码库是确保最大跨语言兼容性的最佳策略。
一般来说，插件具有 GLIBC 要求/依赖性，因为它们具有动态加载所需的低级 C 绑定。未来的一个潜在解决方案可能是还支持插件在编译时静态链接，并以捆绑在 Falco 二进制文件中的形式发布。尽管在这个方向上还没有开始工作，但这将解决您报告的大多数问题，并且也将提供完全静态的二进制文件。当然，这不再与动态加载兼容，但对于我们的 Falco 静态构建风格来说，它可能是一个可行的解决方案。
内存安全绝对是一个问题，尽管 C++ 很容易出错，但我们仍尽力保持高水平的质量。例如，我们尝试尽可能使用智能指针，我们在 CI 中使用地址清理程序构建库，我们在每次发布之前通过 Valgrind 运行 Falco，并有方法对其进行压力测试以检测性能回归或奇怪的内存使用情况（例如 https://github.com/falcosecurity/event-generator）。最重要的是，我们还有第三方不时审核代码库。当然，所有这些都不能构成完美的安全立场，但我们会尽力最大化我们的可能性。从这个角度来看，Go 肯定会让我们的生活变得更轻松，但是由于上述几点，迄今为止的权衡从未使其值得。
falcosecurity/libs 的 C++ 代码库是 Falco 的核心，相当庞大且复杂。将所有代码移植到另一种语言将是一项重大工作，需要大量开发资源，并且失败和回归的可能性很高。因此，到目前为止，我们的方法是选择重构和代码抛光，直到我们在该部分代码上达到最佳的稳定性、质量和模块化水平。这将使未来的进一步发展更加顺利和可行。