Tetragon 發文對 2025 年的工作進行了梳理回顧。

一些主要功能亮點內容如下：

Tetragon for Windows（預覽版）

在將 Tetragon 的安全可觀測和運行時執行帶入 Windows 生態方面邁出了重要一步。當前預覽版已支持 Windows 上的 process_exec_和 process_exit_事件，實現了跨平台一致的可視化。公告稱，這是將 Tetragon 推廣到 Linux 之外的重要里程碑。

持續執行（Persistent Enforcement）

首次在 2024 年底的 Tetragon 1.12 版本中推出，持續執行是最具影響力的功能之一。它保證了即使 Tetragon 代理崩潰或重啓，安全策略仍然持續生效，避免了關鍵的安全漏洞。開啓方式是在配置時添加--keep-sensors-on-exit，使策略在代理退出後依然駐留在/sys/fs/bpf/tetragon 目錄下。

追蹤策略靈活的執行模式

新增了執行模式的靈活配置。追蹤策略現在可以選擇“監控模式”（忽略執行動作）或“執行模式”（強制執行），方便安全測試和行為驗證，避免誤傷。執行模式可在策略定義、加載時或通過 gRPC 動態配置。

屬性解析（Attribute Resolution）

屬性解析極大提升了寫追蹤策略的體驗。它允許根據內核結構動態提取特定屬性，使策略更具表達力、邏輯更清晰。比如下面的策略示例，演示瞭如何獲取父進程的 comm 字段：

apiVersion: cilium.io/v1alpha1
kind:TracingPolicy
metadata:
name:'lsm'
spec:
lsmhooks:
    -hook:'bprm_check_security'
      args:
        -index:0# struct linux_binprm *bprm
          type:'string'
          resolve:'mm.owner.real_parent.comm'
      selectors:
        -matchActions:
            -action:Post

使用屬性解析仍需參考內核結構定義，找到對應參數中的字段。

用户空間鈎子（Uprobes & USDTs）

今年用户空間追蹤支持大幅增強，加入了 uprobes 和 USDTs 鈎子。Tetragon 可直接掛載用户空間函數和靜態定義的追蹤點，將內核級的安全可視化和執行能力延伸到用户空間，提供了更深層次的應用行為洞察。