3.1.5　宿主機操作系統存在的風險

與虛擬機不同，作為一種輕量級虛擬化技術，容器通常與宿主機共享內核。這意味著，如果宿主機內核本身存在安全漏洞，理論上，這些漏洞是能夠在容器內進行利用的。通過利用這些漏洞，攻擊者可能實現權限提升，甚至從容器中逃逸，獲得宿主機的控制權。

例如，在存在CVE-2016-5195（“臟牛”）漏洞的容器環境中，攻擊者可以借助該漏洞向進程vDSO區域寫入惡意代碼，從而實現容器逃逸，我們將在3.4.1節對此進行介紹。

令人欣慰的是，Capabilities及Seccomp機制（見14.2節）在一定程度上緩解了共享內核帶來的問題。另外，以Kata Containers和gVisor為代表的安全容器則能夠較為徹底地解決共享內核帶來的安全問題。前者為每一個容器創建一個獨立的輕量虛擬機，后者在用戶空間模擬內核以處理系統調用，雖然實現思路不同，但都致力于讓容器擺脫對宿主機內核的直接依賴。但是，安全容器不等于絕對安全。我們將在3.4.2節介紹Kata Containers的逃逸案例。