Tetragon 发文对 2025 年的工作进行了梳理回顾。

一些主要功能亮点内容如下：

Tetragon for Windows（预览版）

在将 Tetragon 的安全可观测和运行时执行带入 Windows 生态方面迈出了重要一步。当前预览版已支持 Windows 上的 process_exec_和 process_exit_事件，实现了跨平台一致的可视化。公告称，这是将 Tetragon 推广到 Linux 之外的重要里程碑。

持续执行（Persistent Enforcement）

首次在 2024 年底的 Tetragon 1.12 版本中推出，持续执行是最具影响力的功能之一。它保证了即使 Tetragon 代理崩溃或重启，安全策略仍然持续生效，避免了关键的安全漏洞。开启方式是在配置时添加--keep-sensors-on-exit，使策略在代理退出后依然驻留在/sys/fs/bpf/tetragon 目录下。

追踪策略灵活的执行模式

新增了执行模式的灵活配置。追踪策略现在可以选择“监控模式”（忽略执行动作）或“执行模式”（强制执行），方便安全测试和行为验证，避免误伤。执行模式可在策略定义、加载时或通过 gRPC 动态配置。

属性解析（Attribute Resolution）

属性解析极大提升了写追踪策略的体验。它允许根据内核结构动态提取特定属性，使策略更具表达力、逻辑更清晰。比如下面的策略示例，演示了如何获取父进程的 comm 字段：

apiVersion: cilium.io/v1alpha1
kind:TracingPolicy
metadata:
name:'lsm'
spec:
lsmhooks:
    -hook:'bprm_check_security'
      args:
        -index:0# struct linux_binprm *bprm
          type:'string'
          resolve:'mm.owner.real_parent.comm'
      selectors:
        -matchActions:
            -action:Post

使用属性解析仍需参考内核结构定义，找到对应参数中的字段。

用户空间钩子（Uprobes & USDTs）

今年用户空间追踪支持大幅增强，加入了 uprobes 和 USDTs 钩子。Tetragon 可直接挂载用户空间函数和静态定义的追踪点，将内核级的安全可视化和执行能力延伸到用户空间，提供了更深层次的应用行为洞察。