eBPF เป็นซอฟต์แวร์ที่ฝังไว้ในเคอร์เนลลินุกซ์เพื่อเก็บค่าต่างๆ เพื่อให้โลกข้างนอกเคอร์เนลมองเห็น (observability) มันจึงถูกนิยมใช้ในซอฟต์แวร์ด้านมอนิเตอร์จำนวนมาก (ทั้งมอนิเตอร์ทราฟฟิก โหลดบาลานซ์ ความปลอดภัย ฯลฯ) ข้อดีของ eBPF คือไม่ต้องแก้ไขอะไรเคอร์เนลเลย และตัวโค้ดถูกรันใน sandbox ที่มีความปลอดภัย (เอกสารอธิบาย eBPF)

สัปดาห์ที่ผ่านมา Cisco เปิดตัว Hypershield โซลูชันความปลอดภัยยุคใหม่ ที่คุยว่าสามารถป้องกัน "ช่องโหว่ความปลอดภัยที่ยังไม่รู้จัก" (Unknown Vulnerabilities) ได้ด้วย

ในโลกความปลอดภัยปัจจุบัน เมื่อมีการค้นพบช่องโหว่ใหม่ๆ จะรายงานเข้าฐานข้อมูล Common Vulnerabilities and Exposures (CVE) เพื่อให้ผู้ผลิตซอฟต์แวร์ออกแพตช์แก้ไข และเข้าสู่กระบวนการอัพเดตแพตช์ตามมา ลำพังแค่การค้นพบ CVE และอัพเดตแพตช์เป็นเรื่องที่ยุ่งยากซับซ้อนมากขึ้นเรื่อยๆ อยู่แล้ว แต่ก็ยังมีช่องโหว่ความปลอดภัยอีกแบบที่ผู้ผลิตซอฟต์แวร์ยังไม่รู้จักมาก่อนด้วย ที่สำคัญคือแฮ็กเกอร์บางกลุ่มอาจรู้แล้วและใช้ช่องโหว่กลุ่มนี้แบบเงียบๆ

Cisco ประกาศเข้าซื้อกิจการ Isovalent ผู้พัฒนาระบบความปลอดภัยในเครือข่ายบนคลาวด์แบบโอเพนซอร์ส เพื่อนำมาเสริมผลิตภัณฑ์ด้านความปลอดภัยในคลาวด์

Isovalent เป็นบริษัทที่มีทีมงานหลักมีส่วนร่วมในโครงการ eBPF Foundation และเป็นผู้พัฒนาระบบตรวจสอบเครือข่าย Cilium ที่ใช้สำหรับตรวจสอบโหลดบนเครือข่ายใน Kubernetes

Cisco บอกว่าจะยังให้การสนับสนุนทั้ง eBPF Foundation และ Cilium ในชุมชนโอเพนซอร์สต่อไป รวมทั้งให้บริการ Isovalent Enterprise ที่ให้บริการลูกค้าองค์กรทั้ง Cilium และ Tetragon เครื่องมือตรวจสอบความปลอดภัยของแอพพลิชันบนเครือข่าย

บริษัทไอทีรายใหญ่ 5 บริษัท ได้แก่ Facebook, Google, Isovalent, Microsoft, และ Netflix ประกาศตั้ง eBPF Foundation ภายใต้ Linux Foundation เพื่อดูแลการพัฒนาของโครงการ eBPF โมดูลสำหรับการตรวจสอบค่าภายในของเคอร์เนล

eBPF เป็นโมดูลอเนกประสงค์ที่ใส่ไว้ในเคอร์เนลลินุกซ์ตั้งแต่ปี 2014 ความพิเศษคือมันเป็นโมดูลที่รับโค้ดจากภายนอกเข้าไปรันในเคอร์เนลเพื่อเก็บค่าต่างๆ เพื่อให้นักพัฒนาแอปพลิเคชั่นมองเห็นการทำงาน แทนที่ต้องรอให้เคอร์เนลแสดงค่าบางส่วนออกมาทางช่องทางต่างๆ เพื่อให้ระดับ userspace เห็นตามความจำเป็น การเปิดช่องทาง eBPF ทำให้นักพัฒนาสามารถสร้างโปรแกรมใหม่ๆ เพื่อสังเกตการทำงานในระดับเคอร์เนลอย่างละเอียด

ไมโครซอฟท์ประกาศเปิดซอร์สโครงการ ebpf-for-windows นำ eBPF ที่เป็นการรันโค้ดภายใน sandbox ในเคอร์เนลเพื่อการดึงค่าต่างๆ ออกจากเคอร์เนลมาใช้บนวินโดวส์

eBPF (Extended Berkeley Packet Filter) เป็นส่วนย่อยของเคอร์เนลลินุกซ์ที่เปิดทางให้ผู้ใช้ส่งโค้ดเข้าไปรันในเคอร์เนลโดยตรง โดยก่อนรันจะมีการตรวจสอบความปลอดภัย และยืนยันว่าโปรแกรมไม่ทำงานนานเกินไป (เช่น ไม่มี loop)