QueryCon 2018:osquery技术盛会回顾与洞见

本文回顾了首届osquery技术会议QueryCon 2018的精彩内容,涵盖osquery社区发展、创新应用案例、技术挑战以及Trail of Bits团队分享的超级功能特性和非传统扩展项目,为端点检测技术发展提供深入洞察。

QueryCon 2018:我们的演讲与收获

Lauren Pearl
2018年6月8日
会议, osquery

有时候,一场会议就是能做到恰到好处。精彩的演讲、单轨制议程、精心筛选的积极参与者,且没有推销宣传——这正是Kolide首次举办的osquery会议QueryCon的成功配方。

我们作为osquery的忠实粉丝已是公开的秘密。osquery是Facebook获奖的开源端点检测工具。从2016年我们将osquery移植到Windows,到今年推出osquery扩展仓库,我们一直是该工具开发的主要贡献者之一。因此,我们非常高兴Kolide邀请我们参加QueryCon!

这场为期两天的会议在旧金山精美的艺术宫举行,吸引了超过120名参会者和16位演讲者。参会名单堪称大型科技公司安全领域的“名人录”:来自Facebook、Airbnb、Yelp、Atlassian、Adobe、Netflix、Salesforce等公司的团队。面对面交流非常棒——我们与其中一些团队在osquery上已合作多年。亲眼见证这项技术的广泛采用也令人兴奋:虽然部分团队在部署前前来学习技术,但大多数似乎已是坚定采用者。

演讲内容从宏观(JASK的Rob Fry谈运营安全准备)到高度技术性(Facebook的Michael Lynn解析macOS内部机制),始终保持着轻松氛围,Stripe的Ben Hughes以出色的闷闷不乐风格成为典范。Carbon Black的Scott Lundgren从外部视角对社区进行了成绩单式评价。长期osquery布道者、Palantir的Chris Long分享了在其组织中使用osquery审计框架的坦诚用户体验。这是一个精心策划的主题、演讲者和视角组合,都让我们学到了新东西。

我们在QueryCon学到的内容

1. 社区比我们想象的更庞大、更强大

截至本周,osquery的Slack有1,703名用户。直到QueryCon门票售罄,我才想到检查活跃用户数量:过去30天有431人活跃,其中120人参加了QueryCon,还有数十人加入了候补名单。

2. 部分用户以非常酷的方式创新

我们参加QueryCon的目的是推动社区以新的创新方式使用osquery。结果发现,并不需要太多推动。以Netflix的安全团队为例:他们在多个内部开源项目中使用osquery:数字取证和事件响应(DFIR)工具Diffy,以及安全检测和推荐应用Stethoscope。我们还听到更多团队的更多案例。

3. 社区非常喜欢我们的贡献

许多演讲提到了我们团队和我们的工作。我们知道自己在投入大量工程努力,但并未真正意识到他人受益之多。听到为客户所做的工作真正推动了整个社区,感觉非常棒。

4. 目标明确,但实现路径尚未确定

我们收集了一些明确的收获,这可能是一个新开源项目首次聚会的常见情况:

  • 需要定义并传播osquery的指导原则;
  • 需要巩固有效协作的最佳实践;
  • 需要解决技术债务。

然而,我们尚未确定如何完成这些工作。Facebook明确了其在此过程中的角色:他们的小型专职osquery团队将继续投入测试、版本管理以及要求社区在编写代码和社区包容方面保持高标准的工作。但其余工作需由社区负责。

我们在QueryCon分享的内容

Osquery超级功能

演讲者:Lauren Pearl
摘要: 本次演讲回顾了从五家使用osquery的硅谷科技团队访谈中收集的用户功能愿望清单。从中我们确定了超级功能——这些功能将从根本上提升osquery的价值主张。我们解释了这些发展如何改变osquery在技术组织中的能力。最后,我们概述了实现这些超级功能的高层开发计划。
视频链接: QueryCon 2018 | Lauren Pearl (Trail of Bits) – Three Super Features That Could Transform Osquery
幻灯片: 超级功能PDF

Osquery扩展臭鼬工厂项目:osquery的非传统用途

演讲者:Mike Myers
摘要: Facebook创建osquery时遵循某些指导原则:不窥探用户数据、不改变系统状态、不向第三方创建网络流量。它最初设计为只读信息收集器。对于不想遵守这些规则的用户,有扩展接口。我们开始试验与主流osquery不一致的扩展:与第三方服务集成、可写表、基于主机的防火墙管理、恶意软件接种等。我们分享了使用osquery作为控制接口的挑战经验。
视频链接: QueryCon 2018 | Mike Myers (Trail of Bits) – Extensions Skunkworks: Unconventional Uses for Osquery
幻灯片: 臭鼬工厂扩展PDF

非常感谢!

这是一场新兴技术的精彩首次会议。它让社区领导者意识到问题和机遇,并开始了如何推动前进的对话。参会者重燃了推进和维护项目的热情和承诺。

很难相信这是Kolide首次举办此类活动。运营总监Antigoni Sinanis作为活动成功的负责人,为她的公司明年设定了高标准。我们Trail of Bits已经期待第二轮了!

如果你喜欢这篇文章,请分享: Twitter | LinkedIn | GitHub | Mastodon | Hacker News

页面内容
我们在QueryCon学到的内容

  1. 社区比我们想象的更庞大、更强大
  2. 部分用户以非常酷的方式创新
  3. 社区非常喜欢我们的贡献
  4. 目标明确,但实现路径尚未确定

我们在QueryCon分享的内容
Osquery超级功能
Osquery扩展臭鼬工厂项目:osquery的非传统用途
非常感谢!

近期文章
我们构建了MCP始终需要的安全层
在废弃硬件中利用零日漏洞
Inside EthCC[8]:成为智能合约审计员
使用Vendetect大规模检测代码复制
构建安全消息传递很难:对Bitchat安全辩论的 nuanced 看法

© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次