Tetragon 發佈 2025 年終回顧

新聞
HongKong
11
04:38 PM · Jan 14 ,2026

Tetragon 發文對 2025 年的工作進行了梳理回顧。

一些主要功能亮點內容如下:

Tetragon for Windows(預覽版)

在將 Tetragon 的安全可觀測和運行時執行帶入 Windows 生態方面邁出了重要一步。當前預覽版已支持 Windows 上的 process_exec_和 process_exit_事件,實現了跨平台一致的可視化。公告稱,這是將 Tetragon 推廣到 Linux 之外的重要里程碑。

持續執行(Persistent Enforcement)

首次在 2024 年底的 Tetragon 1.12 版本中推出,持續執行是最具影響力的功能之一。它保證了即使 Tetragon 代理崩潰或重啓,安全策略仍然持續生效,避免了關鍵的安全漏洞。開啓方式是在配置時添加--keep-sensors-on-exit,使策略在代理退出後依然駐留在/sys/fs/bpf/tetragon 目錄下。

追蹤策略靈活的執行模式

新增了執行模式的靈活配置。追蹤策略現在可以選擇“監控模式”(忽略執行動作)或“執行模式”(強制執行),方便安全測試和行為驗證,避免誤傷。執行模式可在策略定義、加載時或通過 gRPC 動態配置。

屬性解析(Attribute Resolution)

屬性解析極大提升了寫追蹤策略的體驗。它允許根據內核結構動態提取特定屬性,使策略更具表達力、邏輯更清晰。比如下面的策略示例,演示瞭如何獲取父進程的 comm 字段:

apiVersion: cilium.io/v1alpha1
kind:TracingPolicy
metadata:
name:'lsm'
spec:
lsmhooks:
    -hook:'bprm_check_security'
      args:
        -index:0# struct linux_binprm *bprm
          type:'string'
          resolve:'mm.owner.real_parent.comm'
      selectors:
        -matchActions:
            -action:Post

使用屬性解析仍需參考內核結構定義,找到對應參數中的字段。

用户空間鈎子(Uprobes & USDTs)

今年用户空間追蹤支持大幅增強,加入了 uprobes 和 USDTs 鈎子。Tetragon 可直接掛載用户空間函數和靜態定義的追蹤點,將內核級的安全可視化和執行能力延伸到用户空間,提供了更深層次的應用行為洞察。

user avatar
0 位用戶收藏了這個故事!
收藏

發佈 評論

Some HTML is okay.