DevSecOps: Sysdig spendet eBPF-Kernel an die Cloud Native Computing Foundation

70.000 Zeilen Code und zwei Libraries komplettieren das Security-Projekt Falco bei der CNCF. Das Sicherheitsprojekt für Container ist nun vollends Open Source.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen

(Bild: Outflow_Designs / Shutterstock.com)

Von
  • Silke Hahn

Sysdig, Anbieter einer Monitoring-Plattform für DevSecOps, hat den restlichen Code des Projekts Falco an die Cloud Native Computing Foundation (CNCF) übergeben. Insgesamt umfasst die aktuelle Codespende rund 70.000 Zeilen, was laut CTO und Sysdig-Gründer Loris Degioanni etwa 100.000 Entwicklerstunden entspreche. Rund 25.000 Beiträge von etwa 600 Entwicklern stecken darin.

Falco ist eine Art "Sicherheitskamera" für Container und Cloud-native verteilte Anwendungen in Kubernetes-Umgebungen. Vor einem Jahr war das Security-Projekt bei der CNCF aus der Sandbox in die Inkubationsphase eingetreten, nun liegt der gesamte Stack dort als Open Source vor und das Projekt nimmt Kurs auf die Graduierung zum vollwertigen CNCF-Projekt. Die Software dient zum Troubleshooting sowie zur forensischen Analyse und sucht nach Bedrohungen. Das Grundgerüst und die Rule-Engine von Falco waren bereits zuvor bei der CNCF beheimatet.

Der Sysdig-Kernel, ein Modul zur Kernel-Erweiterung (ebPF Probe), und die beiden Libraries zum Erfassen und zur Inspektion eines überwachten Systems (libsinsp und libscap) wandern nun unter das Dach der CNCF. Falco stellt laut Degioanni die bislang umfangreichste Implementierung von eBPF (extensible Berkeley Packet Filter) dar, wie heise Developer im Gespräch erfuhr. eBPF fungiert dem CTO zufolge bei Linux ähnlich wie eine virtuelle Maschine unter Java. Es erlaubt "die Erweiterung der Kernel-Funktionalitäten auf sichere Weise", erklärt Degioanni der Redaktion. Jedermann könne Falco in Kubernetes-Systemen in der Cloud deployen. Optional lasse sich zusätzlich der Sysdig-Agent aufspielen, der sich über ein User Interface (UI) steuern lässt und die verteilten Systemdaten automatisiert sammele.

Der gesamte Stack des Security-Projekts Falco befindet sich nun unter dem Dach der CNCF.

(Bild: Sysdig)

Der Agent arbeitet offenbar mit Machine Learning, und Nutzer könnten selbst entscheiden, ob sie alles individuell konfigurieren oder eine Anwendung "out of the box" bevorzugen. Während Falco nun vollständig frei verfügbar ist und sich laut CTO auch solo nutzen lässt, ist die Sysdig-Software ein kommerzielles Produkt. Die Preisstaffel hänge von der Anzahl eingesetzter Agents ab. Kommerzieller Einsatz findet laut Janet Matsuda, CMO von Sysdig, vor allem im Bereich des Bank- und Finanzwesens, im Medienbereich und der Telekommunikation statt. Während kleinere Firmen und Projekte Falco offenbar durchaus in der freien Version im Einsatz haben, nutzen große Unternehmen es wegen der hohen Skalierbarkeit. Der Sysdig-Agent kommt wohl bei Unternehmen wie Goldman Sachs zum Einsatz, aber auch bei der Job-Plattform Beekeeper und dem Münchner FinTech-Start-up Gini.

Die ersten Zeilen des Projekts hatte Degioanni 2014 selbst geschrieben, im Laufe der Jahre haben sich zunehmend andere Entwickler benachbarter Communitys an dem Projekt beteiligt. Security sei traditionell ein proprietäres Geschäft gewesen, aber die Zukunft von Security-Tools sieht Degioanni in Open Source und der Entwicklung durch die Community. "Innovationen gehen rascher vonstatten, wenn nicht bloß eine einzige Firma die Entwicklung kontrolliert", ergänzt er im Gespräch. Die Code-Spende an die CNCF begründet er mit dem Engagement dieser Stiftung, die Standardisierung quelloffener Software voranzutreiben. Mit ihr hoffe man unter anderem weitere Entwickler und Unternehmen anzuregen, Tools mit der eBPF-Technologie zu entwickeln.

Erweiterung eines Linux-Kernels durch den extended Berkeley Packet Filter (eBPF)

(Bild: eBPF.io)

Projekte wie Prometheus und Kubernetes seien aus gutem Grund bei der Cloud Native Computing Foundation, die für Governance und Compliance in der Entwicklung sorge. Entwickler, Kunden und Anbieter benötigten Degioanni zufolge gleichermaßen einheitliche Standards. Kubernetes habe sich mittlerweile auch dank der CNCF zur "lingua franca" für verteilte Systeme in der Cloud entwickelt. Der Ingenieur hält Kubernetes für das Standard-Betriebssystem in Cloud-Szenarien und hält dessen Bedeutung für vergleichbar mit der von Linux vor 25 Jahren. Weitere Details lassen sich auch Degioannis Blogeintrag auf der Sysdig-Website entnehmen.

Sysdig entwickelt Software zur Absicherung von DevOps-Prozessen in Kubernetes-Umgebungen: DevSecOps- und Secure-DevOps-Tools wie Falco. CTO Degioanni ging nach dem Studium in Italien in die USA, wo er Sysdig gründete. Das Unternehmen hat den Hauptsitz im kalifornischen San Francisco und verfügt über weitere Standorte in South Carolina, Asien (Indien und Japan) und vor allem in Europa. Hier befinden sich dem CTO zufolge die drei wichtigsten Niederlassungen: Ein Großteil des Teams sitze in Italien, Spanien und Serbien. Sysdig beschäftigt insgesamt rund 300 Mitarbeiter.

(sih)