osquery新增hash_executable列优化macOS应用签名验证性能

在macOS系统中，应用签名验证是一个重要的安全机制，它确保了应用的完整性和来源可信性。osquery作为一个强大的端点监控工具，在其signature虚拟表中提供了查询应用签名信息的能力。最新版本中，osquery团队为signature表新增了一个重要列hash_executable，这将显著提升查询性能。

背景与需求

在macOS上，每个应用都包含代码签名信息，其中包含开发者团队标识符(Team Identifier)等重要元数据。安全团队经常需要查询这些信息来进行应用审计和合规检查。传统的查询方式会触发完整的签名验证过程，包括对可执行文件和资源文件的哈希计算，这在查询大量应用时会消耗大量CPU和内存资源。

技术实现

osquery的signature表原本已经提供了hash_resources列，当设置为0时，会跳过资源文件的哈希验证。新增加的hash_executable列采用了类似的设计理念：

• 当hash_executable=0时，osquery会设置kSecCSDoNotValidateExecutable标志
• 默认值为1，保持向后兼容性
• 与hash_resources配合使用可以进一步优化性能

性能对比

在实际测试中，查询约525个已安装应用时：

• 仅使用hash_resources=0：耗时约49秒
• 同时使用hash_resources=0和hash_executable=0：耗时约10秒

性能提升达到5倍左右，这对于大规模端点管理场景意义重大。

使用建议

安全团队现在可以构建更高效的查询语句来获取应用签名信息：

SELECT a.*, s.team_identifier 
FROM apps a 
JOIN signature s ON a.path = s.path 
WHERE s.arch = '' 
AND s.hash_resources = 0 
AND s.hash_executable = 0;

这种查询方式在保持获取关键签名信息的同时，大幅降低了系统资源消耗。

安全考量

虽然跳过哈希验证能提升性能，但安全团队需要注意：

1. 仅在可信环境中使用这些优化选项
2. 对于关键安全决策，仍建议进行完整验证
3. 可以结合其他安全机制来弥补验证完整性的降低

总结

osquery的这一改进体现了其在性能与功能性之间的平衡能力。通过hash_executable列的引入，安全团队现在有了更灵活的选择，可以根据实际需求在查询深度和系统负载之间做出合理权衡。这一特性将在osquery 5.15.X版本中正式发布，为macOS端点安全监控带来更高效的解决方案。