osquery项目在macOS 15上alf_exceptions表查询问题解析

在macOS系统监控工具osquery的最新版本中，开发人员发现了一个与应用程序防火墙(Application Layer Firewall, ALF)相关的功能异常。当用户在macOS 15系统上执行alf_exceptions表查询时，无法获取预期的防火墙例外规则数据，而是返回空结果并伴随错误日志。

问题现象

osquery提供的alf_exceptions表设计用于查询macOS系统中配置的应用程序防火墙例外规则。正常情况下，该表应返回与系统防火墙设置中配置的应用程序访问权限相对应的数据记录。然而在macOS 15环境下，查询该表时会出现以下异常表现：

1. 执行标准SQL查询SELECT * FROM alf_exceptions;返回空结果集
2. 系统日志中记录错误信息："Error parsing /Library/Preferences/com.apple.alf.plist: Unable to read plist: /Library/Preferences/com.apple.alf.plist"

技术背景

macOS的应用程序防火墙配置传统上存储在/Library/Preferences/com.apple.alf.plist文件中。这个plist文件包含了系统防火墙的全局设置、服务例外以及应用程序例外等配置信息。osquery通过解析这个文件来构建alf_exceptions表的数据内容。

在macOS 15中，苹果公司可能对防火墙配置的存储机制进行了调整，导致传统的plist文件读取方式失效。实际上，系统防火墙配置现在可以通过system_profiler -json SPFirewallDataType命令获取，该命令返回的JSON数据结构包含了完整的防火墙配置信息。

问题根源

经过分析，问题的根本原因在于：

1. osquery的alf_exceptions表实现仍然依赖旧的plist文件解析方式
2. macOS 15可能改变了防火墙配置的存储位置或格式
3. 系统提供的替代接口(system_profiler)未被osquery利用

解决方案

开发团队已经针对此问题提交了修复补丁，主要改进包括：

1. 适配macOS 15新的防火墙配置查询机制
2. 实现从system_profiler命令输出中提取防火墙例外规则
3. 保持向后兼容性，确保在旧版macOS上仍能正常工作

影响范围

该问题仅影响运行在macOS 15系统上的osquery实例，特别是那些依赖alf_exceptions表进行安全审计或合规性检查的用户。对于macOS 14及以下版本，原有功能保持正常。

用户建议

对于需要使用此功能的用户，建议：

1. 升级到包含修复补丁的osquery版本
2. 如果暂时无法升级，可以考虑使用替代方法通过shell命令获取防火墙配置
3. 在安全策略中考虑macOS 15防火墙配置机制的变化

此问题的修复体现了osquery项目对macOS系统变化的快速响应能力，确保了安全监控工具在最新操作系统版本上的可靠性和准确性。