Orchestrion: herramienta de instrumentación automática en tiempo de compilación para aplicaciones Go

• Herramienta de instrumentación automática segura y confiable para aplicaciones Go desarrollada por Datadog
• Inserta la instrumentación en tiempo de compilación para minimizar la sobrecarga en tiempo de ejecución
• Protege la aplicación mediante funciones de RASP
• Modifica el código fuente durante el proceso de compilación para insertar automáticamente la instrumentación para el rastreo de Datadog APM
• Protege las aplicaciones contra vulnerabilidades comunes mediante la función Exploit Prevention de Datadog Application Security Management

Cómo funciona

• Se integra con la toolchain de Go para analizar y modificar el código fuente durante el proceso de compilación.
• Manipula el código a nivel de Abstract Syntax Tree (AST) para que el compilador de Go valide todos los cambios y realice la verificación de tipos.
• Evita errores que podrían surgir al modificar directamente el binario compilado, al tiempo que permite acceso ilimitado a todos los comportamientos de la aplicación.
• El código modificado pasa por el proceso de optimización del compilador de Go, por lo que queda optimizado y se reduce la sobrecarga en tiempo de ejecución.
• Inserta la directiva pragma //line de Go en el código fuente modificado para que los números de línea no se vean afectados por los cambios y para que los stack traces generados por la aplicación instrumentada apunten a la ubicación correcta del código fuente original.

Por qué usar instrumentación en tiempo de compilación

• Seguridad, confiabilidad y calidad de los datos: la instrumentación en tiempo de compilación genera datos más seguros y confiables que el binary patching o eBPF.
• Automatización: el binary patching y eBPF ofrecen un alto nivel de automatización, pero Orchestrion requiere cambios en el proceso de build y volver a desplegar la aplicación.
• Sobrecarga de rendimiento: eBPF puede generar sobrecarga de rendimiento por los cambios de contexto entre el kernel y el espacio de usuario. Orchestrion inserta la instrumentación en tiempo de compilación para minimizar la sobrecarga en tiempo de ejecución.
• Entornos compatibles: eBPF está limitado a entornos Linux, pero Orchestrion soporta una variedad de entornos.
• Funcionalidad general: eBPF tiene funcionalidades limitadas, pero Orchestrion opera a nivel de código y ofrece más capacidades.

Orchestrion para seguridad

• Implementa funciones de RASP insertando instrumentación capaz de modificar el flujo de control del programa mediante trabajo a nivel de código.
• Puede proteger por sí sola a las aplicaciones contra vulnerabilidades comunes como SQL injection o local file inclusion.
• Puede reemplazar por completo ciertas API por otras API, por lo que los desarrolladores no tienen que preocuparse por pasar valores de contexto a través de todas las capas de lógica de negocio para el encadenamiento del contexto de trazabilidad.