詳細を読む
GitHubは2026年4月16日、自社のデプロイツールにおける循環依存の検出と防止にeBPFを活用する手法をエンジニアリングブログで公開しました。GitHubは自社のソースコードをgithub.com上にホストしており、サービス障害時にデプロイに必要なコードにアクセスできなくなるという根本的な循環依存の問題を抱えています。
循環依存には3つのパターンがあります。デプロイスクリプトが直接GitHubからツールを取得する「直接依存」、既存ツールが起動時にGitHubへ更新確認を行う「隠れた依存」、そして別の内部サービスを経由してGitHubに到達する「推移的依存」です。従来はチームごとに手動でスクリプトを確認していましたが、多くの依存関係は障害発生時まで発見されませんでした。
解決策として採用されたのがeBPFのBPF_PROG_TYPE_CGROUP_SKBプログラムタイプです。Linuxのcroupにデプロイスクリプトのみを配置し、そのプロセスからの外部ネットワークアクセスを選択的に監視・ブロックします。IP アドレスベースのブロックリスト管理が困難なため、BPF_PROG_TYPE_CGROUP_SOCK_ADDRを使ってDNSクエリをユーザ空間のDNS proxyにリダイレクトし、ドメイン単位でのフィルタリングを実現しました。
さらに、ブロックされたDNSリクエストのトランザクションIDとプロセスIDをeBPF Mapで紐付けることで、どのコマンドが問題のあるリクエストを発生させたかを特定できるようにしました。/proc/{PID}/cmdlineを読み取り、完全なコマンドライン情報をログに出力します。
このシステムは6か月間の展開を経て本番環境で稼働を開始しています。チームが誤って問題のある依存を追加した場合や、既存ツールが新たな依存を取った場合に自動で検出・通知されるようになりました。障害時の平均復旧時間の短縮と、GitHubサービス全体の安定性向上に貢献しています。