runc 从1.0 rc5之后,每次发布的版本都有一个标题,以下是各版本及其标题的列表:
runc 1.0-rc5 -- "The Final Stretch"
The Final Stretch -- 最后阶段
runc 1.0-rc5,说这是最后一个rc版本。rc5 表示 runc 与 OCI runtime-spec v1.0 的兼容已经基本就绪,可以作为稳定基础,为未来的 1.0 正式版打下基础。
runc 1.0-rc6 -- "For Real This Time"
For Real This Time -- 这是真的
runc 1.0-rc6,说这是1.0之前的最后一个feature release。
原本计划直接发布 1.0,但由于发现严重的 OCI 规范不一致(尤其是 hook 顺序问题),且相关问题影响大量用户,因此暂停 1.0 计划,转而发布 rc6 作为“冻结版”。
rc6 明确将未来更改限制在“规范一致性与安全补丁”范围,确保生态有时间调整并使 runc 在正式版前达到完全规范化。
runc 1.0-rc7 -- "The Eleventh Hour"
The Eleventh Hour -- 最后时刻
runc 发布runc1.0-rc7,当时爆出了 CVE-2019-5736 漏洞,这是一个严重的容器逃逸漏洞,需要紧急修复。因此,rc7 作为另一个候选版本被发布,让用户能够尽快更新以防范漏洞。
CVE-2019-5736:runc 允许恶意容器获取宿主 runc 二进制的文件句柄并覆盖它,进而在宿主上以 root 权限执行任意代码,实现容器逃逸
runc 1.0-rc8 -- "Oops, We Did It Again!"
Oops, We Did It Again! -- 我们又搞砸了!
runc1.0-rc8,主要目的是解决旧内核的回归问题:rc7 在旧内核上不支持 keycreate labeling,导致许多用户无法更新以缓解 CVE-2019-5736 漏洞。
runc 1.0-rc9 -- "Watch out for that first step, it's a doozy!"
Watch out for that first step, it's a doozy! -- 注意第一步,它很棘手!
runc1.0-rc9 是 针对 rc8 的紧急修复版本,主要目的是修复 CVE-2019-16884 安全漏洞。
- CVE-2019-16884:runc 通过在容器中挂载 /proc 并欺骗 AppArmor 检查,实现对 AppArmor 限制的绕过,攻击者可利用此缺陷逃逸容器安全策略
runc 1.0-rc10 -- "Procfs Strikes Back"
Procfs Strikes Back -- proc文件系统 反击!(参考了电影《星球大战:帝国反击战》(The Empire Strikes Back)中的经典台词。)
proc 文件系统(procfs)又“反扑”了,暗示底层系统的复杂性和历史遗留问题再次出现,需要修复。
runc1.0-rc10 是 针对 rc9 的紧急修复版本,发布的主要目的是修复 CVE-2019-19921 安全漏洞。
- CVE‑2019‑19921:runc 在处理 netlink 消息时未正确校验字节数组属性的 16 位长度字段,导致整数溢出,攻击者可构造恶意属性触发特权提升。
runc 1.0-rc90 -- "We Have To Go Back!"
We Have To Go Back! -- 我们必须回去! 引用自美剧《迷失》(Lost)的经典台词
在《迷失》中,主角团因空难流落神秘荒岛。第一季结尾,部分人逃离岛屿,但第二季揭示他们陷入时间循环,必须返回岛上才能打破困境。剧中多次出现角色高呼 “We have to go back!”,表达对“回归原点解决问题”的迫切。由于版本号排序的“历史遗留问题”(类似《迷失》中角色的“过去困境”),他们不得不“回到”旧的版本号(rc10),通过重新命名(rc90)来“修正”未来的更新路径。
runc1.0-rc90内容与 v1.0.0-rc10 完全一致(二进制文件的版本字符串仍显示为 v1.0.0-rc10),其核心目的是解决版本号排序问题。(rc10的字典序(rc1+ 0)会被误判为比 rc9(rc9)更小(因 1的 ASCII 码小于 9),导致系统无法正确识别 rc10是 rc9的后续版本,从而阻碍自动更新)
runc 1.0-rc91 -- "Just Hook a Right Over Here"
Just Hook a Right Over Here -- 英语日常口语中表示“在这里向右转弯”的通俗说法(“hook a right” 是驾驶场景中“右转”的俚语,类似 “turn right here”)
runc1.0-rc91是 计划中的倒数第二个 RC 版本,核心解决了 Hooks 机制的 Spec 兼容性问题(新增替代旧 Hook 的接口)、完善 cgroup v2 支持、修复合规性与安全问题。
runc 1.0-rc92 -- "Almost, but not quite, entirely unlike tea."
Almost, but not quite, entirely unlike tea. -- 几乎,但不完全,完全不像茶 道格拉斯·亚当斯《银河系漫游指南》名句,形容“泛维度饮料”看似像茶却本质荒诞。
runc1.0-rc92是一个以修复关键回归为核心的 hotfix 版本,解决了 Docker 特权容器下 /dev符号链接处理的问题,并优化了 CRIU 支持和 cgroupfs 性能。
runc 1.0-rc93 -- "I never could get the hang of Thursdays."
I never could get the hang of Thursdays. -- 我从来就没搞懂过星期四。
引用自道格拉斯·亚当斯(Douglas Adams)的科幻喜剧《银河系漫游指南》(The Hitchhiker's Guide to the Galaxy)。书中机器人马文(Marvin)常以厌世口吻抱怨生活中的琐碎困扰,“搞不定星期四”是其经典吐槽之一,表达对复杂/无意义事物的无奈。
2021年2月4日,runc发布了runc 1.0-rc93,是功能开发的“终章”,确认 cgroupv2 生产就绪、优化多项核心功能(seccomp、无根容器、runtime-spec),并进入功能冻结。
runc 1.0-rc94 -- "Time is an illusion. Lunchtime doubly so."
Time is an illusion. Lunchtime doubly so. -- 时间是一种幻觉,午餐时间更是如此。
引用自道格拉斯·亚当斯(Douglas Adams)的科幻喜剧《银河系漫游指南》(The Hitchhiker's Guide to the Galaxy)。
2021年5月10日,runc发布了runc 1.0-rc94,是 1.0 前的“救火版本”,专注修复 rc93 回归问题(含潜在破坏性变更、关键 Bug 修复和功能优化),为最终稳定版扫清障碍。
runc 1.0-rc95 -- "Just when I thought I was out, they pull me back in."
Just when I thought I was out, they pull me back in. -- :就在我以为自己已经脱身时,他们又把我拉了回来。
引用自经典黑帮电影《教父3》(The Godfather Part III)中,阿尔·帕西诺(Al Pacino)饰演的迈克尔·柯里昂(Michael Corleone)的著名台词,表达“本以为已摆脱麻烦,却被再次卷入”的无奈。
2021年5月19日 runc发布了runc 1.0-rc95,是为修复 CVE-2021-30465 安全漏洞而紧急发布的过渡版本,仅含少量附加调整(如 seccomp 新增 defaultErrnoRet支持)
- CVE‑2021‑30465 是一种通过构造恶意符号链接挂载的方式,使 runc 在解析挂载路径时被欺骗,从而突破容器隔离、在宿主机上获取 root 权限,实现容器逃逸
runc 1.0 -- "A wizard is never late, nor is he early, he arrives precisely when he means to."
A wizard is never late, nor is he early, he arrives precisely when he means to. -- 魔法师从不迟到,也不早到,他总是准时到达。
引用自 J.R.R. 托尔金(J.R.R. Tolkien)奇幻史诗《魔戒》(The Lord of the Rings)中,巫师甘道夫(Gandalf)对佛罗多(Frodo)的经典台词:
runc 1.0,是五年磨一剑的稳定版,聚焦 cgroup 优化与 Bug 修复,明确版本策略与兼容性边界。
runc 1.0.1 -- "If in doubt, Meriadoc, always follow your nose."
If in doubt, Meriadoc, always follow your nose. -- 如果有疑问,梅里奥,总是跟着你的鼻子走。
引用自 J.R.R. 托尔金《魔戒》(The Lord of the Rings)。剧中巫师甘道夫(Gandalf)对霍比特人梅里雅达克(Meriadoc Brandybuck,简称“梅里”)的叮嘱,意为“遇到困惑时,凭直觉(或直接的线索)行动”。
runc 1.0.1 ,是 1.0 分支的首个维护版,聚焦修复 1.0.0 中影响生产的回归问题(如 Azure 卷执行失败、cgroup 冻结残留、SELinux BPF 权限错误等),尤其保障 Kubernetes 兼容性。
runc 1.0.2 -- "Given the right lever, you can move a planet."
Given the right lever, you can move a planet. -- 抓住关键点,就能改变整个世界。
出自 Frank Herbert 的科幻小说《沙丘》
runc 1.0.2,是 1.0 分支的第二个维护版,聚焦修复 1.0.0/1.0.1 中影响生产的回归问题(如 cgroup CPU 配额、seccomp 规则、systemd 冻结逻辑等),保障 Kubernetes 等场景的兼容性。
runc 1.0.3 -- "If you were waiting for the opportune moment, that was it."
If you were waiting for the opportune moment, that was it. -- 如果你一直在等待合适的时机,那就是它了。
runc 1.0.3 是 1.0 分支的收尾维护版,修复了挂载/cgroup 相关中等优先级问题及一个理论漏洞(实际无风险),为 1.1 版本铺路。
runc 1.1-rc1 -- "He who controls the spice controls the universe."
He who controls the spice controls the universe. -- 控制香料的人控制着宇宙。
引用自弗兰克·赫伯特(Frank Herbert)的科幻经典《沙丘》(Dune)第一部。
runc 1.1-rc1 是承前启后的关键版本,向后兼容:整合 1.0 所有修复,确保平滑过渡。向前创新:引入 cgroups v1/v2 混合支持、seccomp 高级动作等特性,强化安全与灵活性。
runc 1.1 -- "A plan depends as much upon execution as it does upon concept."
A plan depends as much upon execution as it does upon concept. -- 一个计划的成功取决于执行,同样也取决于概念。
runc 1.1 是 1.1 系列的首个稳定版,基于 rc1 仅调整了构建约束(强制 nsenter 正确编译),停止 1.0 分支更新并推动用户升级。
runc 1.1.1 -- "Violence is the last refuge of the incompetent."
Violence is the last refuge of the incompetent. -- 残暴是无能者的最后避难所。
引用自美国科幻作家罗伯特·海因莱因(Robert A. Heinlein)的长篇小说《时间足够你爱》(Time Enough for Love,1973)。书中角色拉撒路·朗(Lazarus Long)以此强调“智慧优于暴力”的价值观,后成为广为人知的哲理名言。
runc 1.1.1 是 1.1 分支的首个维护版,聚焦修复 1.1.0 中的兼容性(如只读 /dev、--cgroup 路径)与稳定性问题(如防 panic、容错 systemd),通过“非暴力”的精准调整提升体验。
runc 1.1.2 -- "I should think I’m going to be a perpetual student."
I should think I’m going to be a perpetual student. -- 我想我将成为一个终身学习者。
引用自道格拉斯·亚当斯(Douglas Adams)的科幻经典《银河系漫游指南》(The Hitchhiker's Guide to the Galaxy)系列。书中角色常以幽默口吻表达对“持续探索”的态度,此句体现了“永远保持学习”的核心哲学(类似福特·派法特等角色对新事物永不停歇的好奇心)。
runc 1.1.2 是 1.1 分支的第二个维护版,核心修复 CVE-2022-29162(进程能力继承漏洞)及关联问题,优化示例配置安全性。
runc 1.1.3 -- "In the beginning there was nothing, which exploded."
In the beginning there was nothing, which exploded. -- 起初什么都没有,然后它爆炸了。
引用自道格拉斯·亚当斯(Douglas Adams)的科幻喜剧《银河系漫游指南》(The Hitchhiker's Guide to the Galaxy)。书中以戏谑口吻调侃宇宙大爆炸理论,将宇宙的起源简化为“虚无的爆炸”,成为经典的幽默哲学表达。
runc 1.1.3 是 1.1.z 系列的第三个维护版,聚焦修复 s390x 架构 syscall 处理、systemd 驱动兼容性、clang 编译等小众问题,优化边缘场景稳定性。
runc 1.1.4 -- "If you look for perfection, you'll never be content."
If you look for perfection, you'll never be content. -- 如果你追求完美,你将永远无法满足。
runc 1.1.4 是 1.1.z 系列的第四个维护版,核心修复 1.1.3 引入的设备规则回归及挂载、信号处理等问题,聚焦边缘场景稳定性。
runc 1.1.5 -- "囚われた屈辱は 反撃の嚆矢だ"
囚われた屈辱は 反撃の嚆矢だ -- 被囚禁的屈辱,是反击的响箭。
日本动漫《进击的巨人》(進撃の巨人)中的经典台词,原型为剧中角色(如利威尔兵长、埃尔文团长)表达“将压迫转化为反抗动力”的信念。“嚆矢”意为“响箭”,比喻反击的开端。
runc 1.1.5 是 1.1.z 系列的关键安全维护版,修复三个 CVE(含回归漏洞及变体)及多个稳定性问题(如 /dev/null 访问、旧内核兼容),重点保障 rootless 容器与 cgroup 权限安全。
- CVE-2023-25809(rootless 容器 cgroup 写权限泄露)特定配置下,rootless 容器可写访问主机 /sys/fs/cgroup/user.slice/...cgroup 层次(其他层次不受影响)。
- CVE-2023-27561(回归漏洞,重引入 CVE-2019-19921)从 v1.0.0-rc95 到 v1.1.4 版本中,因回归导致旧漏洞 CVE-2019-19921 被重新引入。
- CVE-2023-28642(CVE-2023-27561 变体),上述漏洞的变体,由同一补丁修复。
runc 1.1.6 -- "In this world nothing is certain but death and taxes."
In this world nothing is certain but death and taxes. -- 在这个世界上,只有死亡和税收是确定的。
美国开国元勋本杰明·富兰克林(Benjamin Franklin)于 1789 年写给 Jean-Baptiste Leroy 的信件。此句以幽默的宿命论视角,调侃人生中不可逃避的两大“确定性”。
runc 1.1.6 是 1.1.z 系列的稳定性维护版,通过修复 systemd、rootless 模式和 cgroups 核心问题,提升生产环境可靠性。
runc 1.1.7 -- "Ночевала тучка золотая на груди утеса-великана."
Ночевала тучка золотая на груди утеса-великана. -- 一朵金色的云彩在巨人的胸膛上过夜。
引用自俄国诗人亚历山大·普希金(Alexander Pushkin)的童话长诗《鲁斯兰与柳德米拉》(Руслан и Людмила,1820)的序诗首句。全诗以浪漫主义笔触描绘自然与冒险,此句以“金色云彩”“巨人胸膛”的意象,营造出静谧而壮阔的画面,成为俄国文学的经典开篇。
runc 1.1.7 是 1.1.z 系列的最终维护版,修复 systemd cgroup 设备规则回归(支持 systemd v240+),移除临时警告,新增签名密钥文件,完成系列稳定收尾。
runc 1.1.8 -- "海纳百川 有容乃大"
海纳百川 有容乃大 引用自清代林则徐的名联 “海纳百川,有容乃大;壁立千仞,无欲则刚”(出自《对联话》记载)。
runc 1.1.8 是 1.1.z 系列的重要扩展版,核心新增 RISC-V(riscv64)支持,修复竞态、测试、文档等多方面问题,提升架构兼容性与稳定性。
runc 1.1.9 -- "There is a crack in everything. That's how the light gets in."
There is a crack in everything. That's how the light gets in. -- 万物皆有裂痕,那是光照进来的地方。
引用自加拿大歌手莱昂纳德·科恩(Leonard Cohen)的歌曲《Anthem》(1992)歌词。科恩在诗中以“裂痕”比喻不完美,以“光”象征希望与改进的可能,后成为广为人知的哲理表达。
runc 1.1.9 是 1.1.z 系列的细节修复版,核心解决 1.1.8 回归(tmpfs 粘滞位)、intelrdt ClosID 忽略问题,并改进 cgroup v2 统计对齐 v1,提升数据一致性。
runc 1.1.10 -- "Śruba, przykręcona we śnie, nie zmieni sytuacji, jaka panuje na jawie."
Śruba, przykręcona we śnie, nie zmieni sytuacji, jaka panuje na jawie. -- 梦中拧紧的螺丝,不会改变清醒时的状况。
波兰语哲理谚语,常见于东欧文学与日常表达,强调“空想或虚幻的行动无法解决实际问题”。其思想可追溯至对“现实与幻想界限”的思考,类似“纸上谈兵无用”的具象化表达。
runc 1.1.10 是 1.1.z 分支的最终补丁版,核心修复 cgroups(hugepage、kmem 兼容)和 tmpcopyup(umask 权限)问题,提升生产环境稳定性。
runc 1.1.11 -- "Happy New Year!"
Happy New Year! -- 新年快乐!
这个版本发布于 2024年1月2日
runc 1.1.11 是 1.1.z 系列的终结版,核心修复用户命名空间路径漏洞,增强 cgroupv2 的内存统计能力,并通过升级 filepath-securejoin提升路径安全。
runc 1.1.12 -- "Now you're thinking with Portals™!"
Now you're thinking with Portals™! -- 现在你正在用传送门思考!
引用自 Valve 公司经典解谜游戏 《传送门》(Portal) 及其续作《传送门 2》。游戏中人工智能 GLaDOS 常用此句鼓励玩家利用“传送门”机制(空间跳跃工具)突破常规思维,解决看似无解的谜题。商标符号“™”还原游戏内标志性 slogan 风格。
runc 1.1.12 是 1.1.z 分支的关键安全更新,修复高危容器逃逸漏洞(CVE-2024-21626),通过硬化措施杜绝未来 FD 泄露导致的逃逸风险。
- CVE-2024-21626: 发现一个容器逃逸攻击,利用 runc 内部泄露的文件描述符(FD)(未泄露给容器进程,但被攻击者通过特定路径获取)。攻击者可借此突破容器隔离,访问主机文件系统。
runc 1.2.0-rc.1 -- "There's a frood who really knows where his towel is."
There's a frood who really knows where his towel is. -- 有个明白人,他知道毛巾在哪儿。
出自道格拉斯·亚当斯(Douglas Adams)的科幻经典《银河系漫游指南》(The Hitchhiker's Guide to the Galaxy)。角色 Ford Prefect 在剧中多次强调“毛巾是星际旅行者的必备工具”,象征“未雨绸缪”与“生存智慧”。
runc 1.2.0-rc.1 是一个承前启后的版本,通过安全加固(如 id-mapped mounts、内存保护)、兼容性优化(Go 1.20+ 支持)和功能扩展(cgroups、时间命名空间),推动容器运行时向更灵活、安全的下一代标准演进。
runc 1.1.13 -- "There is no certainty in the world. This is the only certainty I have."
There is no certainty in the world. This is the only certainty I have. -- 世界上没有确定的事,这是我唯一能确定的。
引用自法国哲学家、数学家 布莱兹·帕斯卡(Blaise Pascal)的著作《思想录》(Pensées)。帕斯卡在探讨人类理性与信仰时提出:“人类的所有认知皆为概率,唯有‘不确定性’本身是确定的”,后演变为对“绝对不确定性”的哲学思辨。
runc 1.1.13 是 1.1.z 系列的最终维护版,核心解决 Go 1.22 兼容性、高危漏洞(CVE 待分配)及竞态条件问题,同时优化构建与测试流程。
runc v1.2.0-rc.2 -- "TRUE or FALSE, it's a problem!"
TRUE or FALSE, it's a problem! -- 真或假,都是问题!
runc v1.2.0-rc.2 是 1.2.0 系列的关键测试版,整合 1.1 系列修复,优化 Go 兼容性、cgroup 逻辑与 CI 环境,修复多项稳定性问题。
runc v1.1.14 -- "年を取っていいことは、驚かなくなることね。"
年を取っていいことは、驚かなくなることね。 -- 变老的好处之一,是不再轻易感到惊讶了。
runc v1.1.14 是 1.1.z 系列的低风险维护版,核心修复低危安全漏洞(CVE-2024-45310),支持 Go 1.23 编译,优化版本号管理与 rootfs 挂载逻辑。
CVE-2024-45310:允许恶意配置的容器在宿主机上创建空文件和目录(无需写入权限,仅通过特定挂载或配置触发)。
runc v1.2.0-rc.3 -- "The supreme happiness of life is the conviction that we are loved."
The supreme happiness of life is the conviction that we are loved. -- 生命的至高幸福,在于确信自己被爱。
法国作家 维克多·雨果(Victor Hugo)的小说《悲惨世界》(Les Misérables)。书中角色珂赛特在获得冉·阿让的关爱后,首次感受到被保护的幸福,呼应“爱是生命根基”的主题。
runc v1.2.0-rc.3 是 1.2.0 正式版发布前的关键里程碑,整合历史修复、新增 Go 1.23 支持并强化安全基线。
v1.1.15 -- "How, dear sir, did you cross the flood? By not stopping, friend, and by not straining I crossed the flood."
How, dear sir, did you cross the flood? By not stopping, friend, and by not straining I crossed the flood. -- 朋友,您是如何渡过洪水的?朋友,我未曾停歇,亦不强求,便渡过了洪水。
道格拉斯·亚当斯(Douglas Adams)的科幻经典《银河系漫游指南》(The Hitchhiker's Guide to the Galaxy)。角色 Ford Prefect 在剧中以“不停歇、不强求”的态度应对宇宙危机,隐喻“灵活适应”的生存哲学。
runc v1.1.15 是 1.1.z 系列的重要维护版,通过修复安全漏洞(CVE-2019-5736、seccomp)、优化旧内核兼容性,确保边缘场景的可靠性。
CVE-2019-5736: 此前通过临时 ro 绑定 /proc/self/exe防护容器逃逸,但存在性能开销和兼容性问题。
runc v1.2.0 -- "できるときにできることをやるんだ。それが今だ。"
できるときにできることをやるんだ。それが今だ。 -- 能做的事现在就去做,这才是关键。
日本作家 村上春树 的散文集《当我谈跑步时我谈些什么》(走ることについて語るときに僕の語ること)。书中通过跑步隐喻人生,强调“把握当下、立即行动”的生活哲学。
runc v1.2.0 是容器运行时领域的重大更新,通过重构安全机制(如 overlayfs 替代挂载)、优化性能(二进制副本)、增强兼容性(Go 1.23、Cilium eBPF),解决了长期困扰用户的边缘场景问题。
runc v1.2.1 -- "No existe una escuela que enseñe a vivir."3
No existe una escuela que enseñe a vivir. -- 世上没有教人如何生活的学校。
西班牙作家 费尔南多·佩索阿(Fernando Pessoa)的诗歌《不安之书》(Livro do Desassossego)。诗中强调“生活无法被教授,只能通过实践领悟”,体现存在主义对个体经验的重视。
runc v1.2.1 是 1.2 系列的“故障清除版”,通过修复 SELinux 权限问题、移除 runc-dmz、优化 cgroups v2 支持,解决了 containerd 升级受阻等关键痛点。
runc v1.2.2 -- "Specialization is for insects."
Specialization is for insects. -- 专业化属于昆虫。
科幻经典《沙丘》(Dune)中角色斯第尔格(Stilgar)的台词,强调通用性与适应力的重要性。
runc v1.2.2 是 1.2 系列的“故障清除版”,通过修复 rootless 容器删除失败、跨文件系统日志噪声等关键问题,提升了工具的稳定性和通用性。
runc v1.2.3 -- "Winter is not a season, it's a celebration."
Winter is not a season, it's a celebration. -- 冬天不是一个季节,而是一场庆典。
奇幻小说《冰与火之歌》(A Song of Ice and Fire)中角色 提利昂·兰尼斯特 的台词。在维斯特洛大陆的凛冬背景下,这句话以反讽与哲思强调“逆境中的生命力”。
runc v1.2.3 是 1.2 系列的“稳定性加固版”,通过修复并发挂载错误和 eBPF 内核兼容性问题,保障了工具链与老旧环境的可靠性
runc v1.2.4 -- "Христос се роди!"
Христос се роди! -- 基督诞生了!(保加利亚语/斯拉夫语,圣诞节传统问候语)
这个版本发布于2025年1月7日,是东正教传统的圣诞节,“Христос се роди!”是东正教徒在这一天常用的祝福语。
runc v1.2.4 是 1.2 系列的“兼容性修复版”,核心解决 1.2.0 移除 tun/tap设备导致的用户回归问题,通过重新添加默认允许列表恢复生产环境稳定性。
runc v1.2.5 -- "Мороз и солнце; день чудесный!"
Мороз и солнце; день чудесный! -- 严寒与阳光;美好的一天!
俄国诗人 亚历山大·普希金(Alexander Pushkin)的诗歌《冬天的早晨》(Зимний утро)。诗中描绘了冬日阳光穿透严寒的明快场景,传递“困境中仍有美好”的乐观精神。
runc v1.2.5 是 1.2 系列的“兼容性修复版”,通过解决 systemd 设备规则回归问题、更新依赖项及优化构建流程,保障了 GPU 加速等关键场景的稳定性。
runc v1.3.0-rc.1 -- "No tengo miedo al invierno, con tu recuerdo lleno de sol."
No tengo miedo al invierno, con tu recuerdo lleno de sol. -- 我不惧怕冬天,因你的记忆充满阳光。
出自歌曲 Tonada del viejo amor。
runc v1.3.0-rc.1 是容器运行时领域的重要里程碑,通过 API 重构、功能扩展(如 CPU 亲和性、CRIU 集成)和稳定性修复(systemd、命名空间),为下一代容器管理奠定基础。
runc v1.2.6 -- "Hasta la victoria, siempre."
Hasta la victoria, siempre. -- 直到永远胜利。
拉丁美洲革命家 切·格瓦拉(Che Guevara)的名言,象征对理想的不懈追求与革命必胜的信念。
runc v1.2.6 是 1.2 系列的“稳定性加固版”,通过修复 time namespace、socket 调用等关键问题,优化底层逻辑(如移除冗余代码),确保容器在复杂场景下的可靠性。
runc v1.3.0-rc.2 -- "Eppur si muove."
Eppur si muove. -- 尽管如此,它仍在移动。
传说为意大利科学家 伽利略·伽利莱(Galileo Galilei)在 1633 年被宗教裁判所强迫放弃“日心说”时,低声说出的一句话(拉丁语)。尽管公开认错,他仍坚信地球绕太阳运动的真理。
runc v1.3.0-rc.2 是 1.3.0 系列的“回归修复版”,通过纠正环境变量设置错误、补全 CRIU 时间命名空间支持,进一步验证了 API 重构的兼容性。
runc v1.3.0 -- "Mr. President, we must not allow a mine shaft gap!"
Mr. President, we must not allow a mine shaft gap! -- 总统先生,我们绝不能允许矿井通道差距!
引用自斯坦利·库布里克(Stanley Kubrick)执导的黑色幽默电影 《奇爱博士》(Dr. Strangelove,1964)**。片中角色担忧美苏“导弹差距”(missile gap),此处以“矿井通道差距”(mine shaft gap)类比,讽刺冷战时期的军备焦虑。
runc v1.3.0 是容器运行时政策转型的关键版本,通过修复 rc.2 遗留问题、优化挂载错误信息和构建流程,确立了 1.3 系列的稳定性。同时,新发布政策明确旧分支支持边界(1.1.z 停更、1.2.z 仅修重大 bug)
runc v1.2.7 -- "さんをつけろよデコ助野郎!"
さんをつけろよデコ助野郎! -- 给我加上“さん”(敬称)啊,呆子家伙!
这句话 出自日本动画电影《AKIRA》(1988年剧场版),是金田正太郎对铁雄喊出的著名台词。这句台词 并不存在于《AKIRA》原作漫画,而是 电影版的原创名台词。
runc v1.2.7 是 1.2.z 系列的“细节修复版”,通过 backport 1.3.z 的重大修复(时间命名空间、CPU 亲和力、资源泄漏等),解决了容器运行中的关键痛点,同时优化错误信息与 CI 流程
runc v1.3.1 -- "この瓦礫の山でよぉ"
この瓦礫の山でよぉ -- 在这些废墟之上
日本动漫《进击的巨人》(Attack on Titan)中角色 艾伦·耶格尔(エレン・イェーガー)的经典台词。面对绝境时,艾伦以近乎嘶吼的语气宣告“在废墟中重生”,体现其不屈的反抗精神。
runc v1.3.1 是 1.3 系列的“故障清除版”,通过修复资源泄漏、容器状态异常等核心问题,巩固了 1.3.0 的稳定性。
runc v1.4.0-rc.1 -- "おめェもボスになったんだろぉ?"
おめェもボスになったんだろぉ? -- 你也当上了老大吧?
日本动漫 《海贼王》(One Piece)** 中的经典调侃台词。常见于角色(如德雷克、基德)确认对方势力崛起的场景,语气带点戏谑与认可,暗含“新头目登场”的意味。
runc v1.4.0-rc.1 是容器运行时的重要候选版本,通过新增网络设备移动、cgroup 细粒度限制等功能,强化了对复杂场景的支持;同时修复 CPU 亲和性、资源泄漏等关键问题,优化构建与 CI 流程。
runc v1.3.2 -- "Ночь, улица, фонарь, аптека..."
Ночь, улица, фонарь, аптека... -- 夜晚,街道,路灯,药店...
俄国作家 陀思妥耶夫斯基(Fyodor Dostoevsky)的小说《罪与罚》(Преступление и наказание)中,角色拉斯柯尔尼科夫在犯罪后游荡时的心理描写。这一场景象征孤独、迷茫与对救赎的渴望。
runc v1.3.2 是 1.3 系列的“细节加固版”,通过优化 cgroups 资源管理、修复边缘场景 Bug,进一步提升了容器在异构环境下的可靠性。
runc v1.4.0-rc.2 -- "私の役目は信じるかどうかではない。行うかどうかだ。"
私の役目は信じるかどうかではない。行うかどうかだ。 -- 我的使命不是相信与否,而是行动与否。
日本动漫 《机动战士高达》系列(具体为《机动战士高达SEED DESTINY》)中角色 真·飞鸟(シン・アスカ)的经典台词。真·飞鸟在面临使命与信念冲突时,强调“行动优先于空想”,体现务实的执行者态度。
runc v1.4.0-rc.2 是 1.4.0 系列的“功能补全版”,通过新增 CLONE_INTO_CGROUP、NUMA 策略、Intel RDT 全量配置与监控等特性,强化了容器对复杂硬件资源的精细化管理能力;同时修复 ppc64 兼容性、seccompagent 泄漏等问题,优化 API 废弃清理。
runc v1.2.8 -- "鳥籠の中に囚われた屈辱を"
鳥籠の中に囚われた屈辱を -- 被囚禁在鸟笼中的屈辱
日本动漫 《进击的巨人》(進撃の巨人)中角色 米卡莎·阿克曼(ミカサ・アッカーマン)的经典台词片段,象征“被困于牢笼的压抑与反抗决心”。后成为日本文化中表达“突破束缚”的隐喻。
runc v1.2.8 是 1.2.z 系列的“安全救急版”,通过修复三个高危容器逃逸漏洞(CVE-2025-31133/52565/52881),封堵了掩码路径、console 挂载、LSM 标签写入等关键攻击面。作为 1.2.z 分支“仅剩 6 个月高严重性修复支持”前的最后重要更新,官方强烈建议所有用户立即升级,避免容器被完全突破。
- CVE-2025-31133:掩码路径绑定挂载缺陷,runc 通过绑定挂载容器 /dev/nullinode 覆盖敏感文件以实现“掩码路径”,但若攻击者将 /dev/null替换为指向其他 procfs 文件的 symlink,runc 会错误地将 symlink 目标读写挂载到目标路径。
- CVE-2025-52565:/dev/console绑定挂载缺陷,runc 创建 /dev/console绑定挂载(目标为 /dev/pts/
n替换为 symlink,runc 会将 symlink 目标挂载到 /dev/console,导致权限失控。
- CVE-2025-52881:LSM 标签写入漏洞(CVE-2019-19921 变体)原 CVE-2019-19921 允许攻击者诱使 runc 将容器进程的 LSM(Linux Security Module)标签写入 dummy tmpfs 文件,导致标签未正确应用。此前缓解措施仅验证标签路径为 procfs 文件,存在绕过可能。
runc v1.3.3 -- "奴らに支配されていた恐怖を"
奴らに支配されていた恐怖を -- 被他们支配的恐惧
日本动漫 《进击的巨人》(進撃の巨人)中角色 艾伦·耶格尔(エレン・イェーガー)的台词片段,象征“摆脱外来支配、反抗压迫”的决心。后成为日本文化中表达“突破控制、重获自由”的隐喻。
runc v1.3.3 是 1.3.z 系列的“安全加固与功能增强版”,通过修复三个高危容器逃逸漏洞(CVE-2025-31133/52565/52881)封堵关键攻击面,同时新增 runc update 对 per-device 权重和 IOPS 的限制支持,提升资源管理灵活性。作为 1.3.z 分支的重要更新,官方强烈建议所有用户立即升级,以摆脱容器逃逸的“支配恐惧”。
- CVE-2025-31133:掩码路径绑定挂载缺陷,runc 通过绑定挂载容器 /dev/nullinode 覆盖敏感文件以实现“掩码路径”,但若攻击者将 /dev/null替换为指向其他 procfs 文件的 symlink,runc 会错误地将 symlink 目标读写挂载到目标路径。
- CVE-2025-52565:/dev/console绑定挂载缺陷,runc 创建 /dev/console绑定挂载(目标为 /dev/pts/
- CVE-2025-52881:LSM 标签写入漏洞(CVE-2019-19921 变体)原 CVE-2019-19921 允许攻击者诱使 runc 将容器进程的 LSM(Linux Security Module)标签写入 dummy tmpfs 文件,导致标签未正确应用。此前缓解措施仅验证标签路径为 procfs 文件,存在绕过可能。
runc v1.4.0-rc.3 -- "その日、人類は思い出した。"
その日、人類は思い出した。 -- 那一天,人类想起了。
日本动画 《新世纪福音战士》(Neon Genesis Evangelion) 中的经典台词,完整句为“その日、人類は思い出した。奴らに支配されていた恐怖を……”(那一天,人类回想起了被支配的恐惧……)。出自 TV 版第 24 话,初号机觉醒摧毁第三新东京市前的内心独白,象征“被压抑的真相/恐惧的爆发”。
runc v1.4.0-rc.3 是 1.4.0 系列的“安全回溯版”,通过修复三个高危容器逃逸漏洞(CVE-2025-31133/52565/52881)和稳定性问题(CPU 亲和性、文件描述符泄漏),强化了容器运行时的隔离可靠性。
runc v1.2.9 -- "Stars hide your fires, let me rest tonight."
Stars hide your fires, let me rest tonight. -- 星辰啊,隐藏你们的光芒,别让光明窥见我黑暗深邃的欲望。
莎士比亚戏剧《麦克白》(Macbeth)第一幕第四场,麦克白在弑君前对命运的独白。他请求夜色掩盖自己的野心,隐喻对罪恶行径的遮掩与内心的挣扎。
runc v1.2.9 是 1.2.z 系列的“稳定收尾版”,通过修复 mips 编译问题、tmpfs 挂载回归和文件描述符泄漏,巩固了容器的底层安全性。依赖项降级进一步降低了用户集成成本。
runc v1.3.4 -- "Take me to your heart, take me to your soul."
Take me to your heart, take me to your soul. -- 带我走进你的心,走进你的灵魂。
瑞典乐队 ABBA 的经典歌曲《Take Me to Your Heart》,发行于 1994 年,融合流行与摇滚元素,歌词以浪漫恳切的语气表达情感交融的渴望。
runc v1.3.4 是 1.3.z 系列的“稳定收尾版”,通过修复 mips 架构编译问题、tmpfs 挂载逻辑和文件描述符泄漏,进一步巩固了容器的底层安全性。依赖项降级降低了用户集成成本,同时为后续版本迁移铺平道路。
runc v1.4.0 -- "路漫漫其修远兮,吾将上下而求索!"
路漫漫其修远兮,吾将上下而求索! -- 战国时期楚国诗人 屈原 的《离骚》。此句是屈原被流放后表达执着探索精神的千古名句,象征对理想的坚定追求。
runc v1.4.0 是容器运行时的重要里程碑,通过修复稳定性问题(文件描述符泄漏、架构编译)、增强 cgroup 管理(iocost 统计、DBus 重试)、调整支持政策(废弃 cgroup v1、明确旧分支生命周期),确立了 1.4 系列的生产级可靠性
