Falco — CNCF проект для runtime security в Kubernetes и Linux. Использует eBPF или kernel module для перехвата syscalls и k8s audit events. Rules описывают подозрительное поведение: запись в /etc, spawn shell в контейнере, скачивание файлов, неожиданные network connections. При срабатывании Rule — alert в Falco, stdout, Syslog, SNS, Slack. Falcosidekick маршрутизирует алерты. Дополняет статическое сканирование образов — ловит атаки в runtime.

Что такое docker init и как он упрощает создание Dockerfile?

Что такое Falco и как он обеспечивает runtime security?