QueryCon 2019: osquery的转折点

会议概况

Trail of Bits与Kolide和Carbon Black合作，于6月20-21日在纽约Convene Old Slip会议中心举办了第二届年度QueryCon会议。今年参会人数达到150人，来自全球各地。14位演讲者分享了从Linux安全事件监控技术演示到终端用户研究讨论等osquery相关主题。

新的治理基础

6月18日（QueryCon前一天），Linux基金会正式宣布从Facebook接管osquery所有权。新的osquery基金会将由技术指导委员会（TSC）领导，成员包括：

• Teddy Reed (Facebook)
• Alessandro Gario (Trail of Bits)
• Zachary Wasserman (独立顾问)
• Victor Vrantchan (来自Google，但独立工作)
• Joseph Sokol-Margolis (Kolide)

基金会运作机制

Linux基金会作为osquery的管理者，提供资金和管理平台。新的TSC将在社区贡献的帮助下指导和维护项目，Trail of Bits承诺每两周举办办公时间会议进行公开讨论和透明治理。

Facebook将向新的维护者委员会移交凭证以及对资金、基础设施、托管和工程审查的控制权。TSC组织正在投入大量工程时间建立构建和发布流程，即将在CommunityBridge上推出的资助平台将允许赞助。

技术决策

核心更新

osquery核心将更新至与Trail of Bits的社区导向分支osql功能对等。初始目标是每月发布，交替进行"开发版"和"稳定版"发布。另一个重要优先事项是将所有主要独立工作和私有分支合并到统一的规范版本中。

技术债务解决

Trail of Bits正在解决项目中积累的技术债务（构建工具链、依赖管理、CI系统），之后将维护这些组件并专注于客户端驱动的工程请求。

PR贡献激增

从QueryCon会议后的12周内，近90个PR成功合并（约113次提交），其中大部分贡献来自Facebook外部。Trail of Bits单独负责了今年夏天合并的约44个PR。

重要贡献亮点：

• #5604和#5610：合并Facebook和Trail of Bits版本，恢复CMake构建支持并设置公共CI
• #5706：重构构建脚本，使所有第三方库依赖在Linux上从源代码构建
• #5696、#5697和#5640：修复并大幅改进Windows证书存储查询表
• #5665：通过动态分析（模糊测试和Clang地址清理器）修复多个bug

新的稳定版本发布

会议结束七天后，Trail of Bits提供了新版本osquery的预发布版本。该版本恢复了CMake支持、CI和打包功能，以及一些与构建系统无关的修复。

构建系统改进：

• 从源代码构建不再依赖Facebook维护和托管预构建依赖项
• 重新建立面向公众的持续集成服务器
• 支持开发者使用首选构建工具（Buck或CMake）
• 全新的Linux自定义构建工具链支持更广泛的Linux系统

新功能：

• process_events表在Linux上检测更多类型事件
• 支持regex_match函数进行列搜索
• Linux上初步支持eBPF事件追踪
• 新的macOS表用于检测T1/T2芯片、查询运行应用列表等
• Windows证书、登录用户和逻辑驱动器表大幅改进
• 新高性能事件框架的初步实现

展望未来

QueryCon 2019成为社区积极变革的催化剂，现在osquery的发展已经解锁，我们期待看到它如何继续改进。如果您在组织中使用osquery，请告诉我们下一步应该实现哪些功能和修复。

分享到: Twitter LinkedIn GitHub Mastodon Hacker News