falco下載 - falco原始碼下載

法爾科

其他源碼

0.39.1

下載

法爾科

Falco 是一款適用於 Linux 作業系統的雲端原生運行時安全工具。它旨在即時檢測異常行為和潛在安全威脅並發出警報。

Falco 的核心是一個內核監控和偵測代理，它根據自訂規則觀察系統呼叫等事件。 Falco 可以透過整合來自容器執行時間和 Kubernetes 的元資料來增強這些事件。收集到的事件可以在 SIEM 或資料湖系統中進行脫離主機分析。

Falco 最初由 Sysdig 創建，是雲端原生運算基金會 (CNCF) 下的一個畢業項目，被多個組織用於生產。

有關 Falco 可以檢測到的網路威脅的詳細技術資訊和見解，請造訪 Falco 官方網站。

有關項目最新更新和更改的全面信息，請參閱更改日誌。此外，我們也記錄了交付新版本 Falco 的發布流程。

Falco Repo：為 Falco 計畫的核心提供動力

這是主要的 Falco 儲存庫，其中包含用於建置 Falco 二進位檔案的原始程式碼。透過利用其庫和 falco.yaml 配置文件，該存儲庫構成了 Falco 功能的基礎。 Falco 儲存庫與以下核心儲存庫緊密互連：

falcosecurity/libs：Falco 的函式庫是其基本操作的關鍵，構成了 Falco 二進位原始碼的大部分，並提供了核心驅動程式等基本功能。
falcosecurity/rules：包含Falco官方規則集，為各種安全威脅和異常行為提供預先定義的偵測規則。
falcosecurity/插件：Falco 插件促進與外部服務的集成，將 Falco 的功能擴展到系統呼叫和容器事件之外，並設計為在未來版本中隨著專門功能的發展而發展。
falcosecurity/falcoctl：用於管理 Falco 並與之互動的命令列實用程式。

欲了解更多信息，請訪問 Falco 項目的官方中心：falcosecurity/evolution。它提供了有關專案儲存庫的寶貴見解和資訊。

開始使用 Falco

仔細查看並遵循官方文件。

Falco 採用者的注意事項與指導：

了解依賴：評估運行 Falco 的環境並考慮核心版本和架構。
定義威脅偵測目標：清楚地識別您想要偵測的威脅並評估 Falco 的優點和限制。
考慮效能和成本：評估計算效能開銷並與系統管理員或 SRE 保持一致。相應地進行預算。
選擇建置和自訂方法：在開源 Falco 建置或建立自訂建置管道之間做出選擇。根據需要自訂建置和部署流程，包括合併獨特的測試或方法，以確保快速部署週期的彈性部署。
與輸出目的地整合：將 Falco 與 SIEM、資料湖系統或其他首選輸出目的地集成，為全面資料分析奠定堅實的基礎，並實現有效的事件回應工作流程。

示範環境

透過 docker-compose 檔案提供了一個示範環境，可以在 docker 主機上啟動，其中包括 falco、falcosidekick、falcosidekick-ui 及其所需的 redis 資料庫。有關更多信息，請參閱 docker-compose 部分

如何貢獻

有關如何貢獻的更多信息，請參閱貢獻指南和行為準則。

加入社區

要參與 Falco 項目，請訪問社區存儲庫以查找更多資訊和參與方式。

如果您對 Falco 或貢獻有任何疑問，請隨時提出問題或聯絡 Falco 維護者和社群成員尋求協助。

如何伸出援手？

加入 Kubernetes Slack 上的 #falco 頻道。
加入 Falco 郵件清單。
提出問題或提出功能請求。

對 Falco 自身安全的承諾

您可以在此處找到各種安全審核的完整報告。

此外，您可以參考 falco 和 libs 安全部分，以了解安全建議和策略的詳細更新。

若要報告安全漏洞，請遵循此處文件中概述的社群流程。

法爾科的下一步是什麼？

透過探索 Falco 路線圖，了解 Falco 不斷發展的功能，該路線圖提供了對目前正在開發和規劃未來版本的功能的深入了解。

執照

Falco 根據 Apache 2.0 開源許可證授權給您。

測試

展開測試說明

Falco 的從原始碼建立 Falco 是了解如何從原始碼建立 Falco 的首選資源。此外，falcosecurity/libs 儲存庫還提供有關 Falco 底層庫和核心驅動程式的測試和調試的其他有價值的資訊。

以下是cmake命令的範例，它將啟用此儲存庫的所有單元測試所需的一切：

cmake 
-DUSE_BUNDLED_DEPS=ON 
-DBUILD_LIBSCAP_GVISOR=ON 
-DBUILD_BPF=ON 
-DBUILD_DRIVER=ON 
-DBUILD_FALCO_MODERN_BPF=ON 
-DCREATE_TEST_TARGETS=ON 
-DBUILD_FALCO_UNIT_TESTS=ON .. ;

建置並運行單元測試套件：

nproc= $( grep processor /proc/cpuinfo | tail -n 1 | awk ' {print $3} ' ) ;
make -j $(( $nproc - 1 )) falco_unit_tests ;
# Run the tests
sudo ./unit_tests/falco_unit_tests ;

或者，建立您選擇的驅動程式並測試運行 Falco 二進位檔案以執行手動測試。

最後，Falco 專案已將其 Falco 回歸測試轉移到 falcosecurity/testing。

為什麼 Falco 使用 C++，而不是 Go 或 {語言}？

展開訊息

Falco 基礎上的第一行程式碼是不久前寫的，當時 Go 還沒有像今天這樣成熟和採用。
由於工具的狀態性要求，Falco 執行模型是順序的和單線程的，因此 Go 運行時的大多數與並發相關的賣點根本不會被利用。
Falco 程式碼在許多地方處理非常低階的程式設計（例如，一些標頭與 eBPF 探針和核心模組共用），我們都知道 Go 與 C 的介面是可能的，但會帶來大量的複雜性和權衡。
作為一個每秒消耗極高的事件吞吐量的安全工具，Falco 需要在運行時壓縮所有熱路徑的效能，並需要對記憶體分配進行深度控制，這是 Go 運行時無法提供的（也涉及垃圾收集）。
儘管Go不適合Falco核心的工程要求，但我們仍然認為它可能是透過插件系統編寫Falco擴充功能的良好候選者。這是我們特別關注和高度重視plugin-sdk-go開發的主要原因。
Go 並不要求擁有靜態連結的二進位。事實上，我們幾年前就提供了全靜態的 Falco 版本。唯一的問題是我們目前的動態庫模型不支援插件系統。
插件系統被設想為支援多種語言，因此在我們看來，維護 C 相容的程式碼庫是確保最大跨語言相容性的最佳策略。
一般來說，插件具有 GLIBC 要求/依賴性，因為它們具有動態載入所需的低階 C 綁定。未來的一個潛在解決方案可能是還支援插件在編譯時靜態鏈接，並以捆綁在 Falco 二進位檔案中的形式發布。儘管在這個方向上還沒有開始工作，但這將解決您報告的大多數問題，並且也將提供完全靜態的二進位檔案。當然，這不再與動態載入相容，但對於我們的 Falco 靜態建置風格來說，它可能是個可行的解決方案。
記憶體安全絕對是一個問題，儘管 C++ 很容易出錯，但我們仍盡力保持高水準的品質。例如，我們嘗試盡可能使用智慧指針，我們在CI 中使用地址清理程序建立庫，我們在每次發布之前通過Valgrind 運行Falco，並有方法對其進行壓力測試以檢測性能回歸或奇怪的內存使用情況（例如 https://github.com/falcosecurity/event-generator）。最重要的是，我們還有第三方不時審核程式碼庫。當然，所有這些都不能構成完美的安全立場，但我們會盡力最大化我們的可能性。從這個角度來看，Go 肯定會讓我們的生活變得更輕鬆，但是由於上述幾點，迄今為止的權衡從未使其值得。
falcosecurity/libs 的 C++ 程式碼庫是 Falco 的核心，相當龐大且複雜。將所有程式碼移植到另一種語言將是一項重大工作，需要大量開發資源，並且失敗和回歸的可能性很高。因此，到目前為止，我們的方法是選擇重構和程式碼拋光，直到我們在該部分程式碼上達到最佳的穩定性、品質和模組化水平。這將使未來的進一步發展更加順利和可行。