主要观点：Dangerzone 为记者安全打开可疑文档而开发，过去数月与 gVisor 合作提升其安全性，0.7.0 版本起使用 gVisor 保障文档转换过程安全。文章深入探讨 Dangerzone 工作原理、攻击面及 gVisor 的作用与原理，还介绍了两者集成的过程及新的 Dangerzone 防护措施。
关键信息：

• Dangerzone 目的是清理文档中的安全隐患，需用可能有安全漏洞的软件打开多种文档格式，依赖 Linux 容器隔离。
• 攻击面包括打开文档的应用、绕过容器的 Linux 内核保护等，Dangerzone 通过多种机制减少攻击面，但仍存在一些风险。
• gVisor 是容器安全解决方案，运行在 Linux 上，通过 Sentry 和 Gofer 组件拦截系统调用，减少攻击面，经 Google 等公司测试。
• 为在多平台应用 Dangerzone 中集成 gVisor，将其容器化运行在 Docker Desktop 内，解决了跨平台问题，但带来一些挑战。
• 新的 Dangerzone 防护措施使文档转换过程不再接触 Linux 内核，配置两个容器更安全。
  重要细节：
• Dangerzone 工作流程中渲染文档为像素数据是最关键部分，容器隔离利用了 Linux 容器的跨平台兼容性和安全性。
• Linux 内核在 Docker Desktop VMs 中是特权组件，攻击面可通过限制容器对内核的访问来减少。
• gVisor 是 Go 语言编写的开源项目，核心是应用内核，位于容器和 Linux 内核之间，重实现部分 Linux 系统调用接口，减少攻击面。
• gVisor 通过多种安全措施强化自身，如隔离、文件访问预防、特权撤销、系统调用过滤等。
• 集成 gVisor 时需解决 Docker/Podman 的 seccomp 过滤等问题，配置两个嵌套容器，各有其职责和保护措施。
• 新的 Dangerzone 防护措施在 Linux 内核、系统调用过滤、权限、用户、文件系统、网络、SELinux 等方面更安全。