osquery新增hash_executable列优化macOS应用签名验证性能

背景介绍

osquery是一款强大的跨平台开源工具，它能够将操作系统抽象为高性能的关系数据库，允许用户使用SQL查询来获取系统信息。在macOS平台上，osquery提供了signature虚拟表来查询应用程序的代码签名信息。

原有功能分析

在之前的版本中，signature表已经包含了一个hash_resources列，该列控制是否验证应用程序的资源文件哈希。当设置为0时，osquery会使用kSecCSDoNotValidateResources标志来跳过资源文件的验证，这可以显著提高查询性能。

性能优化需求

在实际使用中，用户发现即使设置了hash_resources=0，查询macOS应用程序签名信息（特别是获取Team Identifier）时仍然会消耗大量CPU和内存资源。这是因为osquery默认会验证可执行文件的哈希值。

技术实现方案

新版本中，osquery在signature表中新增了hash_executable列，其工作原理与hash_resources类似：

• 默认值为1，保持向后兼容性
• 当设置为0时，osquery会使用kSecCSDoNotValidateExecutable标志来跳过可执行文件的哈希验证

性能对比测试

在实际测试环境中（约525个已安装应用），性能提升明显：

• 仅使用hash_resources=0：查询耗时约49秒
• 同时使用hash_resources=0和hash_executable=0：查询耗时降至约10秒 性能提升达到约5倍，这对于大规模部署环境尤为重要。

使用示例

用户现在可以通过以下SQL查询高效获取应用程序的Team Identifier信息：

SELECT a.*, s.team_identifier 
FROM apps a 
JOIN signature s ON a.path = s.path 
WHERE s.arch = '' 
AND s.hash_resources = 0 
AND s.hash_executable = 0;

安全考虑

虽然跳过哈希验证可以提高性能，但也会降低安全性。因此建议：

1. 仅在可信环境中使用这些优化标志
2. 根据实际需求平衡性能与安全性
3. 默认保持两个标志为1以确保最高安全性

总结

osquery的这一改进为macOS系统管理员提供了更灵活的性能调优选项，使得在大规模环境中查询应用程序签名信息变得更加高效。用户现在可以根据实际需求，在安全性和性能之间做出适当权衡。