CNCF 宣布 Falco 毕业，它是一款专为 Linux 系统设计的云原生安全工具，也是事实上的 Kubernetes 威胁检测引擎。

Falco 是由 Sysdig 在 2016 年创建并开源的，并于 2018 年成为第一个被 CNCF Sandbox 接受的运行时安全项目，随后在 2020 年 4 月进入孵化器。自那时以来，Falco 已经吸纳了来自亚马逊、苹果、IBM、红帽等公司的维护者。该项目的活跃贡献者数量自孵化以来增加了 400%，目前有数百名活跃的代码贡献者。

该项目有超过 30 个公开自述的采用者，包括 Cisco、Shopify、Skyscanner 和 Vinted 等组织。自孵化以来，总下载量增长了 526%，平均每月下载量增长了 135%。

“在大规模云原生部署中，实时可见性对于安全至关重要。”CNCF 首席技术官 Chris Aniszczyk 表示：“Falco 正在通过 eBPF 推动开源云原生运行时安全领域的进步，我们期待在项目继续发展的过程中看到这个领域的进展。”

Falco 通过对内核事件应用自定义规则，提供实时警报，帮助用户获得对异常行为、潜在安全威胁和合规性违规行为的可见性，为全面的运行时安全做出贡献。在过去几年中，维护者们致力于改进工程流程和重构 Falco 代码库，包括改进测试套件和新的内核测试框架，增加质量检查，以及新功能，如新的 eBPF 探针和与新的第一方数据源的集成。

“Falco 的开发和贡献到 CNCF 的结论是，运行时安全必须在云原生基础设施中广泛可访问和无缝集成——在云中需要预防，但威胁检测同样重要。”Falco 创始人、SysdigCTO 和创始人 Loris Degioanni 表示：“Falco 得到的支持证明了一个事实，即你无法阻止一切，安全团队需要深度防御，即使在云中也是如此。我对 Falco 社区的支持感激不尽，并且很高兴在 CNCF 内达到了这个里程碑，但 Falco 社区从未将毕业视为终点，而是通过其插件系统扩展 Falco 用例的开始。”

公告指出，为了正式从孵化阶段毕业，Falco 项目经历了与 CNCF 技术监督委员会（Technical Oversight Committee，TOC）的尽职调查过程，完成了第三方安全审计，并支持 CNCF 项目在 eBPF 代码旁边包含 GPL 许可的 Linux 内核模块的过程。毕业证实了 Falco 的成长、成熟和未来前景，并巩固了该项目在运行时安全领域的领导地位。