コンテナーとセキュリティーについて調べたのをまとめる - ytooyamaのブログ追記 「何が問題なのかわからない」という声があったので補足します。 Dockerの-vオプションや仕組みを理解しているユーザーやDockerを構築した人自身が使っているだけであれば、気をつけるだけでいいと思っています。 Dockerを複数人で使っているとか、Kubernetesクラスターのランタイム(CRI)としてこれらのエンジンを使った場合にも、今回取り上げたようなことをKubernetes上で実現できるので、オンプレ(要するに手元の環境で)Kubernetesを利用している人は気をつけないといけないでしょうという話です。どちらかというとこの問題ってrunCを使っているからなのかなと思っています。 解決策としては、Linuxのセキュリティ機能はできるだけ使うということ、必要以上にアクセス権を渡さないこと、メンテナンスされたコンテナイメージを使うこと、稼働中のコンテナは定期的に新しいイメー
