项目背景：机密计算是一种解决数据运行时安全的解决方案，该方案严重依赖硬件厂商提供的平台和工具，对普通用户使用门槛极高。目前 Kubernets 几乎已经成为应用管理的最佳方案，越来越多的企业也开始投入 Kubernets。在此背景下开源项目 inclavare-containers 成立，其目的是能够在 Kubernets 运行机密计算容器，使应用在静止态、传输中、运行中都有全方位的安全保护。项目介绍：该项目比较核心的组件有：shim + epm，rune，Occlume，其功能如下：1. shim + epm：shim 主要用于容器生命周期的管理，比如创建、删除容器等；epm 则负责把用户的普通镜像转换成机密计算运行时所需要的加密镜像；2. rune 是一个二进制程序，它接受来自 shim 的请求，最终通过 Occlume 来真正创建、执行或删除机密容器；3. Occlum 是一款实现机密计算的运行时，业务最终会运行在 Occlume 创建出来的安全区内，避免业务运行时数据篡改或盗窃。我的工作：我主要负责 shim + emp 模块，按照 containerd shimv2 要求新写了一个 shim，该 shim 实现了容器创建、删除等功能，在创建容器时利用 Occlume 与 emp 模块交互，实现普通镜像的签名和加密，最终生成运行机密计算容器的镜像。该模块最大的好处是将机密计算的复杂操作透明化，降低用户使用机密计算的门槛，从而有益于提高机密计算能力的普及。