本文分析了runc的架构与设计，探讨了其与其他容器运行时的区别。runc采用两阶段初始化，使用C代码处理namespace切换，以克服Go运行时的限制。文章强调了安全性的重要性，包括关闭多余的文件描述符和支持seccomp过滤。通过对比指出miniruntime的不足，强调了cgroup管理和PTY管理的复杂性。整体上，runc的设计体现了工程上的优雅与安全性。

近期曝光多个网络安全漏洞，包括runc、NPM库和GlassWorm蠕虫，影响Docker和AI应用。CISA警告三星设备存在0Day漏洞，ChatGPT可能泄露隐私。朝鲜黑客利用谷歌服务进行攻击，欧洲对中国技术的安全担忧加剧。制造业面临AI平台攻击，企业需加强防护。

Docker 和 Kubernetes 使用的 runc 运行时发现三个关键漏洞，攻击者可利用这些漏洞突破容器隔离，获取宿主机的 root 权限。Sysdig 团队已分析漏洞并提供缓解建议，受影响版本需立即升级，建议启用用户命名空间和使用无根容器以降低风险。

Snyk安全研究员发现了四个名为'Leaky Vessels'的漏洞群，允许攻击者逃离容器并访问底层主机操作系统上的数据。修复措施已发布，包括Buildkit 0.12.5版本和runc 1.1.12版本。亚马逊、谷歌和Ubuntu也发布了安全公告。CISA敦促云系统管理员采取措施保护系统。

华为云主机安全服务团队发现runc容器逃逸漏洞，已发布安全更新修复漏洞，建议用户及时升级。华为云主机安全服务提供漏洞扫描和入侵检测功能，降低被攻击风险。

绿盟科技CERT监测到runc官方发布安全通告，修复了一个容器逃逸漏洞（CVE-2024-21626）。攻击者可以通过多种方式进行容器逃逸，导致对主机的完全访问权限。受影响版本为0.0-rc93 <= runc <= 1.1.11，官方已在最新版本中修复该漏洞。

背景 链接到标题 最近在阅读 runc 的实现，发现在 runc 中比较重要的一个逻辑是在设置 namespace 过程中的 nsenter 模块，其中逻辑有些绕，也发现了一段很长很有意思的注释，分享一下。 What 链接到标题 什么是 nsenter，nsenter 是 runc 中的一个 package，它包含了一个特殊的构造函数，用来在 Go runtime 启动之前做一些事情，比如...

《Docker组件介绍（一）：runc和containerd》> TL;DR: 主要介绍了Docker的各个组件：`runc`, `containerd`, `shim`, `docker-init`, `docker-proxy`。最近在研究Docker，为 [我自己的容器编排系统](https://github.com/jiajunhuang/huang)...