Falco 0.22 a.k.a. "the hard fixes release"
又一个月过去了,Falco 继续成长!
今天我们宣布发布 Falco 0.22🥳
您可以在此处查看整个更改集:
- 0.22.0 - 感谢Leonardo Grasso首次发布!
- 0.22.1 - 我和Lorenzo Fontana的修补程序
如果您只想试用稳定的 Falco 0.22,您可以按照文档中概述的常规过程安装其软件包:
你更喜欢使用docker镜像吗?没问题!
docker pull falcosecurity/falco:0.22.1
docker pull falcosecurity/falco:0.22.1-minimal
docker pull falcosecurity/falco:0.22.1-slim
值得注意的变化
此版本包含许多针对长期存在的棘手错误的修复!
但也有一些新功能 😊
如果您自己管理 Falco 驱动程序,请确保将它们更新到版本 a259b4bf49c3330d9ad6c3eed9eb1a31954259a6(参考此处)。(https://github.com/falcosecurity/falco/blob/9f6833e1dbd95b10f7d672d457cec70b5e19e5c1/cmake/modules/sysdig.cmake#L29)).
###eBPF驱动程序
一些用户报告了让eBPF驱动程序在GKE上工作的问题。
这个版本最终引入了一个修复它。
###值
一些用户报告他们在警报中获得了 docker 和 Kubernetes 元数据的
使用以下拉取请求 falco#1133、falco#1138和falco#1140,问题现在应该得到明确的修复,正如测试包含修复的Falco开发版本的用户所报告的那样。
###Falco版本和驱动程序版本现在不同了!
经过对Falco进行更好的模块化的过程,现在Falco版本和它的驱动程序版本最终是两个截然不同的东西!
显然,为了获得这一点,packagin 系统和 falco-driver-loader 脚本中都需要一些 PRsstd_out_tongue_closed_eyes。
规则,规则无处不在!
此版本也有很多规则更改。 此版本也有很多规则更改。 最值得注意的是vicenteherrera创建了许多新规则:
- 完整的 K8s 管理权限
- 没有创建 TLS 证书的入口对象
- 不受信任的节点成功加入集群
- 不信任节点尝试加入集群失败
- 本地子网之外的网络连接
- 出站或入站流量未到授权服务器进程和端口
谢谢Vicente! 🙌🏻
同步CRI元数据获取
感谢 PR falco#1099,用户现在可以禁用 CRI 元数据的异步获取,强制它同步。
为此,只需将 --disable-cri-async 标志传递给Falco。
虽然这会减慢 Falco 事件处理并导致丢弃率提高,但它有助于减少容器元数据的空值。
在使用此标志之前,请试用此版本,因为它包含针对此主题的其他修复!
##一些统计数据
23合并了 23 个拉取请求,其中 18 个包含直接针对我们最终用户的更改。
49自上次发布以来,在 30 天内提交了 49 次。
##即将发生的事情
驱动程序构建网格已基本准备就绪。
只是缺少一些改进,然后Falco将在安装过程中再次下载一组预构建的驱动程序(内核模块和eBPF探测器)!