QueryCon 2019:osquery的重大转折点 - 技术治理与社区共建
新治理架构
6月18日(QueryCon前夕),Linux基金会正式宣布从Facebook接管osquery所有权。新成立的osquery基金会将由技术指导委员会(TSC)管理,成员来自Facebook、Trail of Bits、Google和Kolide等公司的工程师。TSC首批成员包括:
- Teddy Reed(Facebook)
- Alessandro Gario(Trail of Bits)
- Zachary Wasserman(独立顾问)
- Victor Vrantchan(Google背景,独立工作)
- Joseph Sokol-Margolis(Kolide)
基金会运作机制
Linux基金会作为监管方提供资金和管理平台,TSC在社区贡献支持下指导项目发展。Trail of Bits承诺每两周举行公开办公时间接受社区反馈。Facebook将移交凭证控制权、基础设施管理权限给新的维护者委员会(Facebook保留成员资格)。社区桥(CommunityBridge)即将建立的资助平台将接受项目赞助。
关键技术决策
- 版本合并:将osquery核心代码与Trail of Bits维护的社区分支osql进行功能对齐,目标每月发布交替的"开发版"和"稳定版"
- 构建系统重构:
- 恢复CMake构建支持(#5604、#5610)
- 重构Linux依赖库的源码构建机制(#5706),消除对预编译二进制文件的依赖
- 安全增强:
- 改进Windows证书存储查询表(#5696、#5697、#5640),支持查询所有用户证书
- 通过模糊测试和Address Sanitizer修复漏洞(#5665),计划将动态/静态分析纳入CI流程
PR贡献激增
QueryCon后12周内合并近90个PR(含113次提交),其中非Facebook来源贡献占多数。Trail of Bits单独贡献44个PR,包括:
- 构建系统现代化改造
- Windows证书查询功能强化
- Linux依赖库源码构建方案
- 动态分析漏洞修复
新稳定版特性
- 构建系统改进:
- 同时支持Facebook的Buck和社区标准CMake
- 全新Linux构建工具链支持更广泛的发行版
- 功能增强:
- Linux:增强process_events表检测能力,新增eBPF事件追踪支持
- macOS:新增T1/T2芯片检测、Atom包列表查询等表
- Windows:优化certificates、logged_in_users等表性能
- 安全加固:
- 启用新的高性能事件框架
- 增加macOS查询包的安全检测规则
- 修复数十个漏洞和资源泄漏问题
会议成果
QueryCon 2019聚集了全球150名参会者,14场技术演讲涵盖Linux安全事件监控等技术主题。会议促成osquery项目治理转型,显著加速了社区贡献流程。首个Linux基金会监管下的稳定版本在会后7天发布,标志着项目进入新发展阶段。
(全文完)
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
浙公网安备 33010602011771号