CNCF 宣布 Falco 正式毕业，一款基于 Kubernetes 的云原生安全工具

云原生计算基金会（CNCF）近日传来喜讯，宣布 Falco 项目正式毕业。这款专为 Linux 系统设计的工具，在 Kubernetes 领域崭露头角，已成为备受赞誉的威胁检测引擎。Falco 项目不仅圆满完成了所有毕业要求，还经历了严格的尽职调查和第三方安全审计，最终获得了软件许可批准。

Falco 项目自 2016 年由 Sysdig 公司推出以来，便备受关注。2018 年，它成功进入 CNCF 沙盒项目，并在 2020 年晋升为孵化级项目。这款工具能够实时监控容器、Kubernetes、主机和云服务中的潜在威胁，依托 Linux 内核模块和 eBPF 技术实现高效检测。同时，这款开源项目还与 50 多个第三方系统成功集成，提供 JSON 格式的警报通知，方便用户进行存储、分析和触发操作。

Falco 架构 （来源：Falco 官网）

Falco 赋予用户定义规则的能力，他们可以利用 Sysdig 的过滤表达式来识别潜在的可疑活动。以下是一个示例规则，可用于监测容器内尝试启动 Bash shell 进程的行为，帮助用户及时发现并应对潜在的安全风险。

- rule: shell_in_container  desc: notice shell activity within a container  condition: container.id != host and proc.name = bash  output: shell in a container (user=%user.name container_id=%container.id container_name=%container.name shell=%proc.name parent=%proc.pname cmdline=%proc.cmdline)  priority: WARNING

2022 年，Falco 推出了一个全新的插件系统，旨在定义更多的事件来源和事件提取器，并随附 SDK 以简化开发流程。这一插件系统非常灵活，几乎可以使用任何编程语言来编写，只要能够导出所需的函数即可。然而，为了获得最佳的开发体验，推荐使用 Go 语言来开发插件，其次是 C++，因为这两种语言都已经发布了相应的 SDK。

Falco 的插件框架（来源：Falco 官博）

Falco 的创始人、Sysdig 的 CTO 兼创始人 Loris Degioanni 在 Falco 毕业的评论中表示：

Falco 的开发并向 CNCF 的贡献之所以如此重要，是因为运行时安全在云原生基础设施中必须得到广泛应用，并且能够无缝集成。在云端进行预防固然重要，但威胁检测同样不可忽视。我们要感谢卓越的 Falco 社区，以及在 CNCF 中超越这一里程碑的所有人。然而，对于 Falco 社区来说，毕业并不是终点，而是扩展 Falco 用例、通过其插件系统不断创新的起点。

CNCF 的 CTO Chris Aniszczyk 也补充道：

在规模上，实时了解云原生部署的安全性至关重要。Falco 正通过 eBPF 推动开源云原生运行时安全领域的进步，我们期待这一领域的持续发展，以及该项目的不断增长。

原文链接：

https://www.infoq.com/news/2024/03/cncf-falco-kubernetes-graduation/