本文讨论了容器安全机制中的两道防线：Capabilities 和 Seccomp-BPF。Capabilities 将 root 权限拆分，允许容器仅使用必要的特权，防止执行危险操作。Seccomp-BPF 通过过滤系统调用，阻止容器执行关键系统调用，从而增强安全性。Docker 默认配置结合这两种机制，确保容器进程的安全性，防止潜在的宿主机攻击。

Abyss是一个无需ROOT的Android应用拦截框架，利用Seccomp和BPF技术配置过滤规则，提升拦截效率。通过解析进程库地址，避免死循环，并实现系统调用日志打印和回调注册，增强系统安全性。

Seccomp BPF是Linux内核的功能，用于过滤进程的系统调用。通过BPF编程，可以记录或阻止特定系统调用，从而增强进程安全性。文章介绍了Seccomp BPF的使用方法及相关代码示例。

本文介绍了流量拦截技术在微服务架构中的应用。通过使用Pipy代理作为控制面，加载BPF程序实现动态拦截和转发流量。同时，代理服务对流量进行解码和结构化处理，并将解析后的请求内容发送到存储进行存储和分析。文章还演示了如何使用Pipy进行HTTP和Dubbo的流量拦截和分析。Pipy 1.0版本的发布标志着其从一个单纯处理数据流的代理转变为一个全面的可编程应用引擎，提供了强大的流量管理和网络分析工具。

Wasm-bpf 项目定义了一套 eBPF 相关系统接口的抽象，让 Wasm 应用有能力访问内核态和用户态的数据，拓展 Wasm 生态在非浏览器端的应用场景，同时也能在用户态增强 eBPF 程序的能力。eBPF 提供了一套类似于系统调用的机制，Wasm 虚拟机可以获得这套“系统调用”的完整使用权，实现从用户态扩展到内核态的可编程性。组件模型描述了 Wasm 二进制文件之间如何交互的方式，开发人员可以声明应用程序所需的组件，Wasm 运行时可以代表用户组装正确的组件集合，2023 年将是组件模型开始重新定义我们如何编写软件的一年。

最近在学习 BPF，这是一种目前比较流行的动态追踪技术，简单来说，它允许我们在不中断目前正在运行的程序的情况下 […]Continue reading... The post 用 BPF 动态追踪 Python 程序 first appeared on 卡瓦邦噶！.相关文章:认识Python的MetaClassPython装饰器兼容加括号与不加括号的写法Python...

eunomia-bpf 项目作为一个为了简化 eBPF 程序的开发、分发、运行而设计的轻量级 eBPF 开发框架的背景和目标；再通过一些简单的实例，展示一下 eunomia-bpf 是如何从云端一行命令下载运行 eBPF 程序、只编写内核态代码。

If you enjoy performance engineering and peeling back abstraction layers to ask underlying subsystems to explain themselves, this article’s for you. The context is a chronic Redis latency problem,...

We have first adopted the BPF tail calls when building our XDP-based packet processing pipeline. BPF tail calls have served us well since then. But they do have their caveats

经典的bpf(classical Berkeley Packet Filter) 是非常好用的一个技术，在一些特殊的Go底层网络编程的场合，可以很好的提高性能。