大家好，又見面了，我是 GitHub 精選君！

背景介紹

在當(dāng)前技術(shù)架構(gòu)中，容器技術(shù)已成為開發(fā)、打包和部署應(yīng)用程序的革命性方法。然而，盡管容器技術(shù)帶來了效率和性能上的巨大提升，但當(dāng)我們利用它們運(yùn)行不受信任或潛在惡意的代碼時，其安全隱患不容忽視。傳統(tǒng)容器直接利用宿主機(jī)的內(nèi)核，一旦出現(xiàn)安全漏洞，整個系統(tǒng)的安全性便會遭受威脅。因此，在沒有額外隔離措施的條件下，將容器作為安全沙箱來使用是不夠理智的選擇。

今天要給大家推薦一個 GitHub 開源項(xiàng)目 gvisor，該項(xiàng)目在 GitHub 有超過 15.2k Star。

一句話介紹該項(xiàng)目：Application Kernel for Containers

項(xiàng)目介紹

gVisor 是一種應(yīng)用程序內(nèi)核，用 Go 語言編寫，實(shí)現(xiàn)了 Linux 系統(tǒng)大部分的表面功能。它包含一個名為 runsc 的 Open Container Initiative (OCI) 運(yùn)行時，為應(yīng)用程序和宿主機(jī)內(nèi)核之間提供隔離邊界。runsc 運(yùn)行時能夠與 Docker 和 Kubernetes 集成，簡化了沙盒化容器的運(yùn)行過程。

與大多數(shù)內(nèi)核不同，gVisor 不假定或要求一組固定的物理資源；相反，它利用現(xiàn)有宿主機(jī)內(nèi)核功能并作為普通進(jìn)程運(yùn)行。換句話說，gVisor 是通過 Linux 來實(shí)現(xiàn) Linux 的。

如何使用

首先確保系統(tǒng)中已安裝 Linux 4.14.77+ 和 Docker 版本 17.09.0 或更高版本。gVisor 的安裝步驟如下：

1、構(gòu)建 runsc 二進(jìn)制文件：

mkdir -p bin
make copy TARGETS=runsc DESTINATION=bin/
sudo cp ./bin/runsc /usr/local/bin

2、運(yùn)行測試：可使用以下命令運(yùn)行標(biāo)準(zhǔn)測試套件：

make unit-tests
make tests

另外，對于想要使用 go get 而非 bazel 的用戶，可以通過以下步驟安裝 runsc：

echo "module runsc" > go.mod
GO111MODULE=on go get gvisor.dev/gvisor/runsc@go
CGO_ENABLED=0 GO111MODULE=on sudo -E go build -o /usr/local/bin/runsc gvisor.dev/gvisor/runsc

項(xiàng)目推介

作為 Google 的一個開源項(xiàng)目，gVisor 在容器安全領(lǐng)域內(nèi)提供了革命性的解決方案。其開發(fā)十分活躍，不只是因?yàn)槠浔澈笥?Google 的支持，更因?yàn)槠鋭?chuàng)新的技術(shù)方案吸引了廣泛的關(guān)注和參與。此外，gVisor 的集成能力使其能夠輕松地與現(xiàn)有的 Docker 和 Kubernetes 生態(tài)系統(tǒng)結(jié)合使用，這大大降低了使用門檻，吸引了許多知名公司和用戶的關(guān)注和采用。

以下是該項(xiàng)目 Star 趨勢圖（代表項(xiàng)目的活躍程度）：

更多項(xiàng)目詳情請查看如下鏈接。

開源項(xiàng)目地址：https://github.com/google/gvisor

開源項(xiàng)目作者：google

關(guān)注我們，一起探索有意思的開源項(xiàng)目。

點(diǎn)擊如下卡片后臺回復(fù)：加群，與技術(shù)極客們一起交流人工智能、開源項(xiàng)目，一起成長。如果你正在尋求開源項(xiàng)目推廣、DevOps、AIGC 大模型、軟件開發(fā)等領(lǐng)域的付費(fèi)服務(wù)，可參考推文了解詳情。

讀者專屬插件：github.com/ZhuPeng/github_linker