QueryCon 2018:我们的演讲与收获
会议概况
有时一场会议能完美契合所有要素:高质量的演讲、单轨道议程、精选的积极参与者,且毫无销售推销。Kolide首次举办的osquery技术会议QueryCon就实现了这一成功配方。
作为Facebook获奖开源端点检测工具osquery的忠实拥趸,我们自2016年将osquery移植到Windows平台,到今年发布osquery扩展仓库,始终是该工具开发的核心贡献者。因此我们非常荣幸受邀参与QueryCon!
这场在旧金山艺术宫举办的为期两天的会议,吸引了超过120名参会者和16位演讲者。出席名单堪称大型科技安全领域的名人录:来自Facebook、Airbnb、Yelp、Atlassian、Adobe、Netflix、Salesforce等团队。面对面交流令人振奋——我们已与部分团队在osquery项目上协作多年,亲眼见证该技术的广泛落地令人激动。尽管部分团队仍在部署前学习阶段,但大多数已是深度采用者。
演讲内容从宏观视角(JASK的Rob Fry探讨运营安全准备)到高度技术性(Facebook的Michael Lynn解析macOS内部机制),兼具轻松氛围(以Stripe的Ben Hughes的冷幽默为代表)。Carbon Black的Scott Lundgren以外界视角给出社区评分式回顾,Palantir的长期osquery布道者Chris Long则分享了其组织内使用osquery审计框架的真实体验。这是一场主题、讲者和视角精心编排的混合盛宴,每位分享都带来了新洞见。
QueryCon的四大核心发现
1. 社区规模与活跃度超预期
截至会议当周,osquery的Slack社区拥有1,703名用户。此前我们未曾关注活跃用户数:过去30天达431人,其中120人亲临QueryCon现场,另有数十人进入候补名单。
2. 创新应用令人惊艳
我们原本希望推动社区以创新方式使用osquery,但事实上社区早已自主创新。以Netflix安全团队为例:他们已将osquery集成至多个内部开源项目——数字取证与事件响应(DFIR)工具Diffy,以及安全检测与推荐应用Stethoscope。其他团队也分享了众多创新案例。
3. 社区高度认可我们的贡献
多场演讲提及我们团队的工作。我们虽自知投入了大量工程努力,但未完全意识到其对社区的广泛价值。听到为客户完成的工作真正推动整个社区进步,令人倍感振奋。
4. 目标明确但路径待探索
作为新兴开源项目的首次聚会,我们提炼出若干共识:
- 需明确并传播osquery的指导原则
- 需固化高效协作的最佳实践
- 需解决技术债务问题 但具体实施方式尚未确定。Facebook明确了其角色:专职小团队将继续负责测试、版本管理,并要求社区在代码质量和社区包容性方面保持高标准。其余工作则需社区共同推进。
我们的技术分享
Osquery超级功能
演讲者:Lauren Pearl
本次演讲回顾了从五家硅谷科技团队访谈中收集的功能需求清单,从中识别出能根本性提升osquery价值的"超级功能",阐述了这些开发如何改变osquery在技术组织中的能力,并逐步展示了实现这些功能的高层开发计划。
[视频链接](QueryCon 2018 | Lauren Pearl (Trail of Bits) – Three Super Features That Could Transform Osquery)
[幻灯片](Super Features PDF)
Osquery扩展 Skunkworks 项目:非常规应用实践
演讲者:Mike Myers
Facebook创建osquery时遵循核心原则:不窥探用户数据、不改变系统状态、不向第三方发送网络流量,其设计初衷为只读信息收集器。对于希望突破这些规则的用户,扩展接口提供了可能性。我们开始实验与主流osquery不一致的扩展:第三方服务集成、可写表、主机防火墙管理、恶意软件免疫等,并分享了将osquery作为控制接口的挑战与经验。
[视频链接](QueryCon 2018 | Mike Myers (Trail of Bits) – Extensions Skunkworks: Unconventional Uses for Osquery)
[幻灯片](Skunkworks Extensions PDF)
结语
这场新兴技术的首次会议成效显著:它唤醒了社区领导者对问题与机遇的认知,开启了推动项目前进的对话。参会者重燃了推进与维护项目的热情与承诺。
难以相信这是Kolide首次主办此类活动。运营总监Antigoni Sinanis为明年的活动设立了高标准。我们已开始期待第二届!
若喜欢本文,欢迎通过Twitter、LinkedIn、GitHub、Mastodon或Hacker News分享。