Сегодня открою "страшную" тайну хорошо известную в "узких" кругах о
1) Если вы используете
2) В данной версии закрыли несколько Security Advisories уровня
3)
4)
5) Об этом всем известно в открытом доступе уже
6) Все это доступно вместе с
Запомните: Правила, созданные человеком, хороши ровно на столько на сколько хорошо их автор знает систему в конкретный момент создания правила. А ОС
Falco - он легко обходится и трудно настраивается. Но обо всем по порядку:1) Если вы используете
Falco, то срочно обновитесь до последней версии 0.28.12) В данной версии закрыли несколько Security Advisories уровня
critical и high 3)
Сritical позволяла незаметно уронить модуль и отключить Falco 4)
High говорит о множественных обходах default правил из falco_rules.yaml (закрыто не все)5) Об этом всем известно в открытом доступе уже
17 месяцев 6) Все это доступно вместе с
PoC из стороннего публичного аудита безопасности опубликованного в репозитории Falco
Также аудиторы отмечают сложность написания хороших правил, а разработчики отмечают необходимость кастомизации default правил во избежание обходов.Запомните: Правила, созданные человеком, хороши ровно на столько на сколько хорошо их автор знает систему в конкретный момент создания правила. А ОС
Linux совсем не простая ОС + ваши микросервисы развиваются ...