Falco 0.38.0 版本发布总结

Falco 维护团队宣布了其最新版本 0.38.0，这是自其在云原生计算基金会（CNCF） 毕业后的首次发布。该版本的关键特性包括通过 falcoctl 简化驱动程序选择和安装、改进配置文件分段以提升可管理性等。以下是该版本的主要内容和重要细节。

主要特性

1. 简化驱动程序选择和安装

• falcoctl 改进：falcoctl 工具现在可以根据系统规格自动选择兼容的驱动程序，简化了驱动程序的安装过程。
• 自动内核头文件下载：在支持 driverkit 的发行版上，自动下载内核头文件以实现无缝驱动程序安装。

2. 改进的配置文件管理

• 配置文件分段：falco.yaml 现在支持分段为多个文件，便于更好的组织和管理，并在升级时保留配置。

3. 动态规则加载

• 新的 rules 配置选项：用户可以在运行时从配置文件或命令行选择规则，提供更精确的控制和定制。例如：

  rules:
    - disable:
        rule: "*"
    - enable:
        rule: Netcat Remote Code Execution in Container
    - enable:
        rule: Delete or rename shell history

  默认情况下所有规则被禁用，仅启用指定规则。

4. 增强的条件表达式

• val() 操作符：引入了 val() 操作符，支持与字段值进行比较，并允许在比较的两侧应用简单的转换操作符，如 toupper()、tolower() 和 b64()。

5. Prometheus 集成

• 性能监控集成：通过与 Prometheus 的集成，用户可以更高效地进行性能监控，并与现有基础设施无缝集成。

6. 实验性 API

• 增强插件功能：实验性 API 提供了更多 Falco 内部信息和指标，支持更深度的集成和洞察。

其他重要信息

开发历程

• Falco 最初由 Sysdig 开发，2018 年贡献给 CNCF，2020 年进入孵化阶段，2024 年毕业。
• 在这个开发周期中，Falco 维护团队集成了超过 100 个 PR，以及超过 180 个与相关库和驱动程序（版本分别为 0.17.0 和 7.2.0）的 PR。

破坏性变更

• 配置接口变更：此版本引入了多个破坏性变更，主要集中在配置接口上。某些配置选项被替换，相应的命令行选项被移除。
• 未来版本变更：在 Falco 0.39.0（下一个版本）中，-D、-t 和 -T 选项将被弃用，开发团队致力于简化和优化 Falco 的使用体验。

总结

Falco 0.38.0 版本在驱动程序安装、配置文件管理、规则加载、条件表达式、监控集成等方面进行了多项改进，提升了用户体验和系统可管理性。此版本还引入了实验性 API，为未来更深度的集成和功能扩展奠定了基础。