近日，李志博士的论文“Lost along the Way: Understanding and Mitigating Path-Misresolution Threats to Container Isolation”被 ACM计算机与通信安全会议（ACM Conference on Computer and Communications Security，ACM CCS 2023）录用。

容器技术作为云原生环境的基石，其隔离性完全依赖于操作系统所提供的机制实现，但现有Linux内核机制无法为容器技术提供有效、完备的文件系统隔离。论文研究发现这种弱隔离性会导致一种可被用于容器逃逸的路径错误解析的高危漏洞，并影响了市面上所有容器管理工具。尽管各容器社区为修复此类漏洞付出了巨大努力和代价，但此类漏洞仍旧不断出现。为彻底消除此类漏洞，论文所介绍的研究工作重构了Linux内核中文件系统相关的虚拟化与隔离框架，将文件系统隔离对象进行扩展，实现了安全可控、可验证的交互与隔离机制。经实验验证，此新型的隔离机制能有效根除上述漏洞，并且产生的性能开销远小于各社区为消除此类漏洞带来的性能开销，甚至可以忽略不计，同时保证了隔离机制对用户层是透明的，并不影响容器的兼容性与高性能优势。此项研究旨在探索“原生”容器的发展路线，并致力于为实现下一代“原生”容器奠定基础。

ACM CCS是计算机安全领域的顶级国际学术会议，也是中国计算机学会（CCF）推荐的A类会议，往届平均录用率约为18%。

（通讯员：李志）