近日，实验室李志副教授的论文“Losing the Beat: Understanding and Mitigating Desynchronization Risks in Container Isolation”被计算机安全顶会Network and Distributed System Security Symposium (NDSS 2026) 录用。

作为云原生技术的基石，容器技术在面对应用场景中日益多样化的资源隔离与共享需求时，其原有的隔离模型已逐渐失效。论文研究发现，构建容器实例所依赖的Linux内核技术呈现出碎片化与拼装式的特点：命名空间与控制组分别承担着容器内资源的隔离管理与使用限制职责，两者协同构建单一容器实例时，才能有效保障容器实例中资源的隔离与限额。然而，在服务器无感知计算场景中，当容器间或容器与宿主机通过共享命名空间实现资源对象的高效传递时，命名空间的作用范围被扩大，其与控制组的协同关系会被打破，进而导致控制组功能失效，容器可非法使用宿主机资源且不受任何限制。经测试发现，Docker、Podman、Pouch 及 Kubernetes 等主流容器工具均提供了用于配置容器间及容器与宿主机间命名空间共享的接口，且这些工具均存在上述安全问题，并已被分配相应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。为应对此挑战，同时满足命名空间共享的实际需求，提出了一项内核级解决方案，该方案旨在统一命名空间与控制组在容器实例资源监控方面的分散职责。目前，相关方案已开源，获得了 RedHat 社区内核维护人员的认可，正进一步向Linux内核社区推动合并。评估结果显示，该方案可完全抵御此类安全风险，且对Linux内核、主流容器工具及实际应用的性能影响与适配成本几乎可以忽略不计。

NDSS是计算机安全领域的顶级国际学术会议，也是中国计算机学会（CCF）推荐的A类会议，往届平均录用率约为17%。

（通讯员：李志）