9.3.1 CI/CD 流水线中的无特权镜像构建

文档摘要

9.3.1 CI/CD 流水线中的无特权镜像构建当容器镜像构建成为软件交付流水线的标准动作，我们往往默认接受一种危险的模式：将Docker守护进程以特权容器（Privileged Container）形态挂载进CI/CD代理。这种被称为Docker-in-Docker（DinD）的实践，如同在精密仪器的核心部件旁放置了一颗随时可能引爆的雷管—— 标志不仅授予了容器对宿主机的完全控制权，更打破了内核的安全边界，使得构建环境中的恶意代码或供应链攻击能够轻易突破隔离，直抵宿主机内核。无特权镜像构建（Rootless/Unprivileged Image Building）正是在这样的安全焦虑中应运而生。