You are viewing documentation for Falco version: v0.34.1

Falco v0.34.1 documentation is no longer actively maintained. The version you are currently viewing is a static snapshot. For up-to-date documentation, see the latest version.

Featured Image for Falco 0.23.0 a.k.a. "the artifacts scope release"
Leonardo Grasso, Lorenzo Fontana

Falco 0.23.0 a.k.a. "the artifacts scope release"

又一个月过去了,Falco继续成长!

今天我们宣布发布 Falco 0.23 🥳

想知道为什么这个版本被称为“The Artifacts Scope”版本吗? 请在此处阅读更多内容。(https://github.com/falcosecurity/falco/blob/master/proposals/20200506-artifacts-scope-part-2.md).

你可以在这里看到全部的变化:

如果你只是想尝试稳定的Falco 0.23,你可以按照文档中列出的通常过程安装它的包:

你更喜欢使用docker镜像吗? 没问题!

docker pull falcosecurity/falco-no-driver:latest # The most recent version
docker pull falcosecurity/falco-no-driver:0.23.0 # A specific version of Falco such as 0.23.0
docker pull falcosecurity/falco-driver-loader:latest # The most recent version of falco-driver-loader with the building toolchain
docker pull falcosecurity/falco-driver-loader:0.23.0 # A specific version of falco-driver-loader such as 0.23.0 with the building toolchain
docker pull falcosecurity/falco:latest # The most recent version with the falco-driver-loader included
docker pull falcosecurity/falco:0.23.0 # A specific version of Falco such as 0.23.0 with falco-driver-loader included

请注意:我们现在建议不要直接使用falcosecurity/falco:latest,而是先使用falcosecurity/falco-driver-loader映像,然后使用falcosecurity/falco-no-driver:latest。falcosecurity/falco:latest没有任何用途,我们只是想提供一种方法来做同样的事情,但分成两个独立的进程,以降低正在运行的falco容器的攻击面。点击这里阅读更多关于镜像重组的信息。(https://github.com/falcosecurity/falco/blob/master/proposals/20200506-artifacts-scope-part-2.md#images).

##重大变化

  • 现在,在包和 falco-driver-loader脚本中,内核模块和 eBPF探测器在 falco-probe.ko 和 falco-probe.o 之前分别被引用为falco.ko和falco.o。 在使用内核模块安装Falco的情况下,由于名称不同,这可能会导致加载重复的模块。确保您没有重复的模块
  • 用于使用自定义存储库下载驱动程序的 falco-driver-loader 脚本环境变量现在使用 DRIVERS_REPO 环境变量而不是 DRIVER_LOOKUP_URL。 此变量必须包含包含以下目录结构 /$driver_version$/falco_$target$_$kernelrelease$_$kernelversion$.[ko|o].

##规则更新(耶耶!我们总是改进默认的规则集!!)

  • 规则(重定向STDOUT/STDIN到容器中的网络连接):根据规则命名约定正确的规则名称
  • 规则(将标准输出/标准输入重定向到容器中的网络连接):检测将标准输出/标准输入重定向到容器中的网络连接的新规则
  • 规则(K8s秘码创建):跟踪Kubernetes秘密创建的新规则(不包括kube系统和服务账户秘码)
  • 规则(K8s秘码删除):跟踪Kubernetes秘密删除的新规则(不包括kube系统和服务账户秘码)

##一些统计数据

合并了 35 个拉取请求,其中 18 个包含直接针对我们最终用户的更改。

自上次发布以来,有 72 次提交,那是一个月前。

##即将发生的事情

我们将在Falco gRPC API中合并对unix套接字的支持和#1217,更重要的是,在这个发布周期中,(https://github.com/falcosecurity/falco/pull/1217),社区决定采用pdig(https://github.com/falcosecurity/pdig),作为存储库(这里了解这意味着什么)。(https://github.com/falcosecurity/falco/blob/master/proposals/20200506-artifacts-scope-part-1.md#falco-project-evolution),pdig将允许Falco完全运行在用户空间中。当Falco部署在无法加载内核模块或eBPF探针的环境中时,这非常有用。我们的社区成员已经创建了两个项目,用于部署Falco和pdig作为驱动程序,Falco -trace(https://github.com/kris-nova/falco-trace)和Falco -inject(https://github.com/fntlnz/falco-inject).。我们期待着通过这些方案或作出不同的决定。

下个月见,还有更多精彩的事情!