Artikeln, baserad på en podcast från Black Hat USA 2019 med Brandon Edwards från Capsule8, diskuterar sårbarheter som möjliggör "container escapes", med särskilt fokus på runc-sårbarheten. container escapes kan uppstå genom felkonfigurationer, överdrivna privilegier, host mounts, kärnsårbarheter eller skillnader i säkerhetsmodeller mellan Linux-distributioner (t.ex. AppArmor vs. SELinux). Orkestreringsverktyg som Kubernetes kan oavsiktligt försvaga containersäkerheten genom att inaktivera standardmekanismer som seccomp, vilket ökar attackytan. Det finns en missuppfattning om containersäkerhet; containers är inte virtuella maskiner och delar kärnan, vilket gör deras säkerhetsmodell komplex och bräcklig. För att förbättra säkerheten rekommenderas att granska volymmonteringar, tilldelade privilegier, exponering av Docker-socketen samt att upprätthålla god kärnhygien genom att patcha sårbarheter.