Docker 和 Kubernetes 使用的 runc 运行时发现三个关键漏洞,攻击者可利用这些漏洞突破容器隔离,获取宿主机的 root 权限。Sysdig 团队已分析漏洞并提供缓解建议,受影响版本需立即升级,建议启用用户命名空间和使用无根容器以降低风险。
Kubernetes的mountPropagation功能通过Linux挂载命名空间解决了代理无法识别新挂载持久卷的问题。设置mountPropagation为HostToContainer后,代理可以实时识别Kubelet挂载的新目录,无需重启,增强了安全性和容器隔离。
Edera在KubeCon发布了Edera Protect 1.0,旨在解决平台速度与安全的矛盾。该程序通过Rust开发的安全虚拟机监控器Krata,实现容器间的强隔离,确保安全性。同时,Edera开源了Styrolite,支持轻量级沙箱和Kubernetes集成,提升资源利用率和安全性。未来,Edera计划扩展Protect,进一步提高云原生计算的安全标准。
完成下面两步后,将自动完成登录并继续当前操作。
