CRI-O : Application de profils seccomp à partir de registres OCI

- Seccomp restreint les appels au noyau effectués à partir de l'espace utilisateur, améliorant la sécurité. - La distribution de profils seccomp dans Kubernetes est difficile en raison de la nécessité pour ces profils d'être disponibles sur tous les nœuds. - Le runtime CRI-O introduit de nouvelles annotations qui permettent de spécifier des profils seccomp pour des conteneurs, des pods ou des images de conteneur spécifiques. - Les utilisateurs peuvent référencer des profils seccomp en tant qu'artefacts OCI, permettant la distribution des profils avec les images de conteneur. - CRI-O va extraire et appliquer l'artefact OCI spécifié si le runtime est configuré pour le permettre. - Les charges de travail s'exécutant en tant que Non-confiné peuvent utiliser les nouvelles annotations. - L'annotation peut être appliquée à un conteneur spécifique ou à l'ensemble du pod en utilisant le nom réservé POD. - Les images de conteneur peuvent avoir des annotations seccomp qui sont appliquées aux pods utilisant l'image. - L'annotation pour les images de conteneur fonctionne de manière similaire à l'annotation de pod et s'applique à l'ensemble du pod. - La fonctionnalité permet de créer des profils seccomp spécifiques aux images de conteneur et de les stocker avec les images dans un registre.