Skip to content
Latchkey

O Que É um Seccomp Filter?

Um seccomp filter é um mecanismo do kernel que limita o conjunto de system calls que um processo tem permissão de invocar, bloqueando ou fazendo trap no resto. Ao permitir apenas as calls de que uma workload legitimamente precisa, ele encolhe a superfície de ataque exposta ao kernel. Container runtimes aplicam perfis seccomp padrão às workloads que iniciam.

Por que isso importa

Perfis seccomp fazem parte de como o CI baseado em containers isola código não confiável do kernel do host. Um perfil excessivamente estrito também pode fazer um build falhar quando ele precisa de um syscall bloqueado.

Guias relacionados