QueryCon 2019:osquery发展的转折点
距离Trail of Bits主办QueryCon已经过去3个月了吗?我们度过了一个如此忙碌而充实的夏天,几乎忘了回顾这次活动的成功!
6月20-21日,Trail of Bits与Kolide和Carbon Black合作,在纽约市中心的Convene Old Slip会议中心举办了第二届年度QueryCon。我们以150名全球参会者打破了去年的出席记录。14位演讲者带来了关于osquery的技术演讲,内容涵盖Linux安全事件监控的技术演示到终端用户研究的讨论。
新的基金会
6月18日,即QueryCon前一天,Linux基金会正式宣布将从Facebook接管osquery的所有权。在Linux基金会下,新的osquery基金会将由技术指导委员会(TSC)领导,成员包括来自Facebook、Trail of Bits、Google和Kolide的工程师和开发者。
基金会运作机制
Linux基金会作为osquery的管理者,提供各种资金和管理平台。新的osquery TSC将在更广泛社区的贡献帮助下指导和维护该项目,而Trail of Bits将承诺每两周举行办公时间,接受公众意见并实现透明的项目治理。
技术决策
TSC有大量积压的贡献需要处理,但我们已经看到项目活动的大幅加速:
- osquery核心将更新至与Trail of Bits的社区导向分支osql功能相当
-
- 初始目标是每月发布,交替发布"开发者"和"稳定"版本
-
- 另一个重要优先事项是合并所有主要的独立工作和私有分支
PR提交激增
在QueryCon之前的9个月里,osquery项目大约合并了35个PR,其中只有少数来自Facebook以外的社区。而在QueryCon之后的12周内,成功合并了近90个PR(约113次提交),其中大部分贡献来自Facebook外部。
新的稳定版本
在会议结束时的社区研讨会上,osquery用户和TSC成员讨论了下一个稳定版本的最佳路径。会议七天后,Trail of Bits的Alessandro Gario提供了新版本osquery的预发布版。
新版本包含以下改进:
- 进程事件表在Linux上检测更多类型的事件
-
- 更强大的查询语法:支持regex_match函数
-
- Linux上基于eBPF的事件追踪初步支持
-
- Windows上的证书、登录用户和逻辑驱动器表大幅改进
-
- 新的事件框架初始实现
QueryCon及未来
我们非常高兴今年能主办QueryCon,并感谢所有参会者。由于今年与会者的思考、讨论和热情,这次活动成为了我们社区积极变革的催化剂。现在osquery的开发已经解锁,我们迫不及待想看到它的改进。
osquery的下一步是什么?我们希望听到您的意见!如果您在组织中使用osquery,让我们谈谈接下来应该实现哪些功能和修复。得益于这次革命性的思想碰撞,我们现在有能力实现这些目标。 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
----格式化输出)
)
