CNCF宣布Falco毕业

CNCF（云原生计算基金会）宣布Falco项目正式毕业。Falco是一个为Linux系统设计的工具，也是Kubernetes威胁检测的实际引擎。该项目成功满足了所有毕业要求，包括完成了尽职调查、第三方安全审计以及软件许可证的审批。

Falco的背景与发展

Falco由Sysdig公司于2016年创建，2018年首次进入CNCF的沙盒项目，并于2020年成为孵化级项目。Falco提供跨容器、Kubernetes、主机和云服务的实时威胁检测，使用Linux内核模块和eBPF技术。这个开源项目集成了超过50个第三方系统，用于警报通知，并以JSON格式交付，便于存储、分析和触发操作/任务。

Falco的功能与架构

Falco允许定义规则，使用Sysdig的过滤表达式来识别潜在的可疑活动。例如，以下规则检测在容器内启动Bash shell进程的尝试：

- rule: shell_in_container
  desc: notice shell activity within a container
  condition: container.id != host and proc.name = bash
  output: shell in a container (user=%user.name container_id=%container.id container_name=%container.name shell=%proc.name parent=%proc.pname cmdline=%proc.cmdline)
  priority: WARNING

2022年，Falco引入了插件系统，用于定义额外的事件源和事件提取器。插件系统包括SDK以简化开发，插件可以用几乎任何语言编写，只要它们导出所需的函数。然而，插件开发的首选语言是Go，其次是C++，这两种语言都有相应的SDK。

Falco的创建者评论

Falco的创建者、Sysdig的CTO兼创始人Loris Degioanni评论道：“Falco的开发和贡献给CNCF的结论是，运行时安全必须广泛可访问并无缝集成到云原生基础设施中——你需要云中的预防，但威胁检测同样重要。”他感谢了Falco社区，并表示毕业只是一个开始，未来将通过插件系统扩展Falco的使用场景。

CNCF CTO的评论

CNCF的CTO Chris Aniszczyk表示：“在规模化的云原生部署中，实时的安全可见性是无价的。Falco正在通过eBPF推动开源云原生运行时安全领域的进步，我们期待看到该项目在这一领域的持续成长和进步。”

总结

Falco作为一个强大的开源工具，已经成为Kubernetes威胁检测的重要引擎。通过实时监控和灵活的规则定义，Falco能够有效识别和响应潜在的威胁。其插件系统的引入进一步扩展了其功能和应用场景。随着Falco在CNCF的毕业，该项目将继续在云原生安全领域发挥重要作用。