gitextract_4qc7e9o1/ ├── .circleci/ │ └── OWNERS ├── .clang-format ├── .clang-format-ignore ├── .cmake-format.json ├── .codespellignore ├── .dockerignore ├── .git-blame-ignore-revs ├── .github/ │ ├── PULL_REQUEST_TEMPLATE.md │ ├── dependabot.yml │ ├── release_template.md │ └── workflows/ │ ├── bump-libs.yaml │ ├── ci.yml │ ├── codeql.yaml │ ├── codespell.yml │ ├── engine-version-weakcheck.yaml │ ├── format.yaml │ ├── insecure-api.yaml │ ├── master.yaml │ ├── release.yaml │ ├── reusable_build_dev.yaml │ ├── reusable_build_docker.yaml │ ├── reusable_build_packages.yaml │ ├── reusable_fetch_version.yaml │ ├── reusable_publish_docker.yaml │ ├── reusable_publish_packages.yaml │ ├── reusable_test_packages.yaml │ ├── scorecard.yaml │ └── staticanalysis.yaml ├── .gitignore ├── .gitmodules ├── .pre-commit-config.yaml ├── .yamllint.conf ├── ADOPTERS.md ├── CHANGELOG.md ├── CMakeLists.txt ├── COPYING ├── Contributing.md ├── LICENSE ├── Makefile ├── OWNERS ├── README.md ├── RELEASE.md ├── brand/ │ └── README.md ├── cmake/ │ ├── cpack/ │ │ ├── CMakeCPackOptions.cmake │ │ └── debian/ │ │ └── conffiles │ └── modules/ │ ├── CPackConfig.cmake │ ├── CompilerFlags.cmake │ ├── Coverage.cmake │ ├── cares.cmake │ ├── copy_files_to_build_dir.cmake │ ├── cpp-httplib.cmake │ ├── curl.cmake │ ├── cxxopts.cmake │ ├── driver-repo/ │ │ └── CMakeLists.txt │ ├── driver.cmake │ ├── falco-version.cmake │ ├── falcoctl.cmake │ ├── falcosecurity-libs-repo/ │ │ └── CMakeLists.txt │ ├── falcosecurity-libs.cmake │ ├── gperftools.cmake │ ├── jemalloc.cmake │ ├── mimalloc.cmake │ ├── njson.cmake │ ├── openssl.cmake │ ├── rules.cmake │ ├── static-analysis.cmake │ └── yaml-cpp.cmake ├── config/ │ ├── falco.container_plugin.yaml │ └── falco.iso8601_timeformat.yaml ├── docker/ │ ├── OWNERS │ ├── README.md │ ├── docker-compose/ │ │ ├── README.md │ │ ├── config/ │ │ │ └── http_output.yml │ │ └── docker-compose.yaml │ ├── driver-loader/ │ │ ├── Dockerfile │ │ └── docker-entrypoint.sh │ ├── driver-loader-buster/ │ │ ├── Dockerfile │ │ └── docker-entrypoint.sh │ ├── falco/ │ │ └── Dockerfile │ └── falco-debian/ │ └── Dockerfile ├── falco.yaml ├── proposals/ │ ├── 20190826-grpc-outputs.md │ ├── 20190909-psp-rules-support.md │ ├── 20191030-api.md │ ├── 20191217-rules-naming-convention.md │ ├── 20200506-artifacts-scope-part-1.md │ ├── 20200506-artifacts-scope-part-2.md │ ├── 20200818-artifacts-storage.md │ ├── 20200828-structured-exception-handling.md │ ├── 20200901-artifacts-cleanup.md │ ├── 20201025-drivers-storage-s3.md │ ├── 20210119-libraries-contribution.md │ ├── 20210501-plugin-system.md │ ├── 20221129-artifacts-distribution.md │ ├── 20230511-roadmap-management.md │ ├── 20230620-anomaly-detection-framework.md │ ├── 20231220-features-adoption-and-deprecation.md │ ├── 20251205-multi-thread-falco-design.md │ └── 20251215-legacy-bpf-grpc-output-gvisor-engine-deprecation.md ├── scripts/ │ ├── CMakeLists.txt │ ├── debian/ │ │ ├── postinst.in │ │ ├── postrm.in │ │ └── prerm.in │ ├── description.txt │ ├── falcoctl/ │ │ └── falcoctl.yaml.in │ ├── publish-bin │ ├── publish-deb │ ├── publish-rpm │ ├── publish-wasm │ ├── rpm/ │ │ ├── postinstall.in │ │ ├── postuninstall.in │ │ └── preuninstall.in │ └── systemd/ │ ├── falco-custom.service │ ├── falco-kmod-inject.service │ ├── falco-kmod.service │ ├── falco-modern-bpf.service │ └── falcoctl-artifact-follow.service ├── semgrep/ │ ├── insecure-api-gets.yaml │ ├── insecure-api-sprintf-vsprintf.yaml │ ├── insecure-api-strcpy-stpcpy-strcat.yaml │ └── insecure-api-strn.yaml ├── tools/ │ └── local_hooks/ │ └── dco-pre-commit-msg.sh ├── unit_tests/ │ ├── CMakeLists.txt │ ├── README.md │ ├── engine/ │ │ ├── test_add_source.cpp │ │ ├── test_alt_rule_loader.cpp │ │ ├── test_enable_rule.cpp │ │ ├── test_extra_output.cpp │ │ ├── test_falco_utils.cpp │ │ ├── test_filter_details_resolver.cpp │ │ ├── test_filter_macro_resolver.cpp │ │ ├── test_filter_warning_resolver.cpp │ │ ├── test_plugin_requirements.cpp │ │ ├── test_rule_loader.cpp │ │ └── test_rulesets.cpp │ ├── falco/ │ │ ├── app/ │ │ │ └── actions/ │ │ │ ├── app_action_helpers.h │ │ │ ├── test_configure_interesting_sets.cpp │ │ │ ├── test_configure_syscall_buffer_num.cpp │ │ │ ├── test_load_config.cpp │ │ │ └── test_select_event_sources.cpp │ │ ├── test_atomic_signal_handler.cpp │ │ ├── test_capture.cpp │ │ ├── test_configs/ │ │ │ ├── engine_kmod_config.yaml │ │ │ └── engine_modern_config.yaml │ │ ├── test_configuration.cpp │ │ ├── test_configuration_config_files.cpp │ │ ├── test_configuration_env_vars.cpp │ │ ├── test_configuration_output_options.cpp │ │ ├── test_configuration_rule_selection.cpp │ │ └── test_configuration_schema.cpp │ ├── falco_test_var.h.in │ ├── test_falco_engine.cpp │ └── test_falco_engine.h └── userspace/ ├── engine/ │ ├── CMakeLists.txt │ ├── OWNERS │ ├── evttype_index_ruleset.cpp │ ├── evttype_index_ruleset.h │ ├── falco_common.cpp │ ├── falco_common.h │ ├── falco_engine.cpp │ ├── falco_engine.h │ ├── falco_engine_version.h │ ├── falco_load_result.cpp │ ├── falco_load_result.h │ ├── falco_rule.h │ ├── falco_source.h │ ├── falco_utils.cpp │ ├── falco_utils.h │ ├── field_formatter.cpp │ ├── field_formatter.h │ ├── filter_details_resolver.cpp │ ├── filter_details_resolver.h │ ├── filter_macro_resolver.cpp │ ├── filter_macro_resolver.h │ ├── filter_ruleset.cpp │ ├── filter_ruleset.h │ ├── filter_warning_resolver.cpp │ ├── filter_warning_resolver.h │ ├── formats.cpp │ ├── formats.h │ ├── indexable_ruleset.h │ ├── indexed_vector.h │ ├── logger.cpp │ ├── logger.h │ ├── output_format.h │ ├── rule_json_schema.h │ ├── rule_loader.cpp │ ├── rule_loader.h │ ├── rule_loader_collector.cpp │ ├── rule_loader_collector.h │ ├── rule_loader_compile_output.h │ ├── rule_loader_compiler.cpp │ ├── rule_loader_compiler.h │ ├── rule_loader_reader.cpp │ ├── rule_loader_reader.h │ ├── rule_loading_messages.h │ ├── stats_manager.cpp │ ├── stats_manager.h │ └── yaml_helper.h └── falco/ ├── CMakeLists.txt ├── app/ │ ├── actions/ │ │ ├── actions.h │ │ ├── cleanup_outputs.cpp │ │ ├── close_inspectors.cpp │ │ ├── configure_interesting_sets.cpp │ │ ├── configure_syscall_buffer_num.cpp │ │ ├── configure_syscall_buffer_size.cpp │ │ ├── create_signal_handlers.cpp │ │ ├── event_formatter.cpp │ │ ├── event_formatter.h │ │ ├── helpers.h │ │ ├── helpers_generic.cpp │ │ ├── helpers_inspector.cpp │ │ ├── init_falco_engine.cpp │ │ ├── init_inspectors.cpp │ │ ├── init_outputs.cpp │ │ ├── list_fields.cpp │ │ ├── list_plugins.cpp │ │ ├── load_config.cpp │ │ ├── load_plugins.cpp │ │ ├── load_rules_files.cpp │ │ ├── pidfile.cpp │ │ ├── print_config_schema.cpp │ │ ├── print_generated_gvisor_config.cpp │ │ ├── print_help.cpp │ │ ├── print_ignored_events.cpp │ │ ├── print_kernel_version.cpp │ │ ├── print_page_size.cpp │ │ ├── print_plugin_info.cpp │ │ ├── print_rule_schema.cpp │ │ ├── print_support.cpp │ │ ├── print_syscall_events.cpp │ │ ├── print_version.cpp │ │ ├── process_events.cpp │ │ ├── select_event_sources.cpp │ │ ├── start_webserver.cpp │ │ └── validate_rules_files.cpp │ ├── app.cpp │ ├── app.h │ ├── options.cpp │ ├── options.h │ ├── restart_handler.cpp │ ├── restart_handler.h │ ├── run_result.h │ ├── signals.h │ └── state.h ├── atomic_signal_handler.h ├── config_falco.h.in ├── config_json_schema.h ├── configuration.cpp ├── configuration.h ├── event_drops.cpp ├── event_drops.h ├── falco.cpp ├── falco_metrics.cpp ├── falco_metrics.h ├── falco_outputs.cpp ├── falco_outputs.h ├── falco_semaphore.h ├── outputs.h ├── outputs_file.cpp ├── outputs_file.h ├── outputs_http.cpp ├── outputs_http.h ├── outputs_program.cpp ├── outputs_program.h ├── outputs_stdout.cpp ├── outputs_stdout.h ├── outputs_syslog.cpp ├── outputs_syslog.h ├── stats_writer.cpp ├── stats_writer.h ├── versions_info.cpp ├── versions_info.h ├── watchdog.h ├── webserver.cpp └── webserver.h