easyseccomp(更好的名称可供选择) 一种领域特定的语言,用于以更简单的方式为容器定义seccomp配置文件,并具有对生成的BPF的更多控制,这是libseccomp可能的。 这篇博客文章更详细地解释了为何启动该项目: : seccomp配置文件可以定义为: // Native support for comments without abusing JSON! #ifdef DENY_MKDIR_WITH_EINVAL $syscall in (@mkdir) => ERRNO(EINVAL); #endif #ifndef DENY_MKDIR_WITH_EINVAL $syscall in (@mkdir) => ERRNO(EPERM); #endif => ALLOW(); 并生成原始BPF为: $ easyseccomp < profile.seccomp