seccomp - CI/CD用語集の定義
seccomp (secure computing mode) は、プロセスが実行できるシステムコールをフィルタリングする Linux カーネル機能です。container runtime は危険な syscall をブロックするデフォルトの seccomp profile を適用します。
多層防御
seccomp profile は、container が決して必要としないはずの syscall (例えばカーネルモジュールの読み込み) を呼び出すのを防ぎ、capability が考慮される前の段階でも、悪用された CI job ができることを制限します。
関連ガイド
Linux Capabilities - CI/CD Glossary DefinitionLinux Capabilities: Linux capabilities split the privileges of root into distinct units (such as `CAP_NET_BIN…
Sandbox (Container) - CI/CD Glossary DefinitionSandbox (Container): A sandbox is an isolation boundary that restricts what code inside it can touch. Sandbox…
Privileged Container - CI/CD Glossary DefinitionPrivileged Container: A privileged container runs with `--privileged`, granting nearly all host kernel capabi…