OsQuery技术前沿:QueryCon 2018大会深度解析与创新实践

本文深入解析首届osquery技术大会QueryCon 2018的核心内容,涵盖Facebook开源终端检测工具osquery的创新应用、社区发展现状、技术挑战与解决方案,包括扩展接口开发、超级功能实现以及企业级实践案例。

QueryCon 2018:我们的演讲与收获

Lauren Pearl
2018年6月8日
会议, osquery

有时一个会议就能做到恰到好处。精彩的演讲、单轨制、精选的积极参与者,且没有销售宣传。这就是Kolide首次举办的QueryCon——史上第一个osquery会议的成功秘诀。

众所周知,我们是osquery的忠实粉丝,这是Facebook获奖的开源终端检测工具。从2016年我们将osquery移植到Windows,到今年推出osquery扩展仓库,我们一直是该工具开发的主要贡献者之一。这就是为什么我们很高兴Kolide邀请我们参加QueryCon!

这场为期两天的会议在旧金山精美的艺术宫举行,吸引了超过120名参会者和16位演讲者。参会名单堪称大型科技安全领域的名人录;来自Facebook、Airbnb、Yelp、Atlassian、Adobe、Netflix、Salesforce等团队。面对面交流非常棒。我们与其中一些团队在osquery上合作已有多年。亲眼看到该技术的广泛采用也令人兴奋。尽管有些团队在部署前还在学习这项技术,但大多数似乎是坚定的采用者。

演讲内容从宏观(JASK的Rob Fry的操作安全准备)到高度技术性(Facebook的Michael Lynn对macOS内部结构的剖析),始终保持着轻松的氛围,Stripe的Ben Hughes以出色的闷闷不乐风格体现了这一点。Carbon Black的Scott Lundgren从外部视角对社区进行了报告卡式回顾。Palantir的长期osquery布道者Chris Long分享了他所在组织使用osquery审计框架的坦诚用户体验。这是一个精心策划的主题、演讲者和视角的混合。他们都教会了我们一些新东西。

我们在QueryCon学到的东西

1. 社区比我们想象的更大、更强

截至本周,osquery的Slack有1,703名用户。直到QueryCon售罄,我才想到检查有多少用户是活跃的;过去30天有431人。其中120人参加了QueryCon。还有数十人加入了候补名单。

2. 一些用户以非常酷的方式创新

我们参加QueryCon的目的是推动社区以新的创新方式使用osquery。结果发现,并不需要太多推动。以Netflix的安全团队为例。他们在多个内部开源项目中使用osquery:Diffy,一个数字取证和事件响应(DFIR)工具,以及Stethoscope,他们的安全检测和推荐应用。我们还听到了更多团队的更多例子。

3. 社区真的很喜欢我们的贡献

许多演讲提到了我们的团队和我们的工作。我们知道我们贡献了重要的工程努力,但我们没有真正意识到其他人受益了多少。听到为我们的客户所做的工作真正推动了整个社区,感觉很好。

4. 目标明确,但实现方式尚未确定

我们收集了一些明确的收获,这些可能对于一个新开源项目的首次聚会来说是常见的:

  • 我们需要定义并传播osquery的指导原则;
  • 我们需要巩固一些有效协作的最佳实践;
  • 我们需要解决技术债务。

然而,我们尚未确定如何完成这些。Facebook在定义其在此过程中的角色方面很明确。他们的小型专用osquery团队将继续投入艰苦的工作,进行测试、管理版本,并对书面代码和社区包容性保持高标准。但其余部分取决于社区。

我们在QueryCon分享的内容

Osquery超级功能

演讲者:Lauren Pearl
摘要: 在这次演讲中,我们回顾了从与五家使用osquery的硅谷科技团队访谈中收集的用户功能愿望清单。从中,我们确定了超级功能——这些功能将从根本上改善osquery的价值主张。我们解释了这些发展如何改变osquery在技术组织中的力量。最后,我们逐步介绍了实现这些超级功能的高层开发计划。
视频链接: QueryCon 2018 | Lauren Pearl (Trail of Bits) – Three Super Features That Could Transform Osquery
幻灯片: 超级功能PDF

Osquery扩展臭鼬工厂项目:Osquery的非传统用途

演讲者:Mike Myers
摘要: Facebook创建osquery时有一些指导原则:不窥探用户数据,不改变系统状态,不创建到第三方的网络流量。它最初是作为只读信息收集器。对于那些不想遵守这些规则的人,有扩展接口。我们开始尝试与主线osquery不一致的扩展:与第三方服务集成、可写表、基于主机的防火墙管理、恶意软件接种等。我们分享了一些关于使用osquery作为控制接口的挑战的经验教训。
视频链接: QueryCon 2018 | Mike Myers (Trail of Bits) – Extensions Skunkworks: Unconventional Uses for Osquery
幻灯片: 臭鼬工厂扩展PDF

非常感谢!

这是一个新兴技术的伟大首次会议。它唤醒了社区领导者对问题和机会的认识,并开始了如何推动前进的对话。参会者 renewed 了对推进和维护项目的热情和承诺。

很难相信这是Kolide首次举办这样的活动。运营总监Antigoni Sinanis,负责活动成功的女士,为她的公司明年设定了高标准。我们已经在期待第二轮了!

如果你喜欢这篇文章,请分享: Twitter LinkedIn GitHub Mastodon Hacker News

页面内容
近期文章
用Deptective调查你的依赖项
系好安全带,Buttercup,AIxCC的评分回合正在进行中!
使你的智能合约超越私钥风险
Go解析器中意想不到的安全隐患
我们审查首批DKLs学到的内容
Silence Laboratories的23个库
© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次