Podman 是一款开源容器引擎,用于在 Linux、macOS 和 Windows 上构建、运行和管理容器,现已推出最新更新版本 5.7。
此版本修复了CVE-2025-52881,这是一个严重的容器逃逸和拒绝服务漏洞,源于任意写入 gadget 和 procfs 写入重定向。该漏洞可能允许恶意容器破坏隔离或扰乱主机运行。
此版本的一项关键新功能是远程 Podman 客户端和 API 服务全面支持 TLS 和 mTLS 加密。这意味着客户端和服务器之间的连接现在可以通过证书进行身份验证和加密,从而为远程容器管理提供安全通道。
此外,该podman system connection add命令也已更新,可通过加密的 TCP 套接字创建连接,进一步加强通信安全性。
在 Kubernetes 集成方面,Podman 5.7 现在允许podman kube play在podman kube down单个命令中接受多个 YAML 文件。此外,用户现在可以同时部署或销毁多个 Pod 或部署。
Quadlet,Podman 与 systemd 的桥梁,迎来了一系列令人瞩目的增强功能。5.7 版本引入了对.artifact文件类型的支持、卷和网络的模板化依赖关系,以及多个新的配置项,其中包括:
HttpProxy用于禁用自动代理转发,StopTimeout用于管理 pod 关闭,以及BuildArg以及IgnoreFile更灵活的构建处理方式。
此外,Quadlet 现在支持.kube文件中的多个 YAML 文档,并引入了一个新的podman quadlet cat别名,以便于检查。
工件管理也得到了改进。类似这样的命令podman artifact remove现在可以接受多个参数,并包含诸如--replace和之类的新选项--ignore,而列表现在会显示工件的创建时间和虚拟大小。
Podman 5.7 还引入了更智能的性能行为:在 Podman Machine VM 中加载或构建镜像时,Podman 现在直接访问共享文件系统路径,而不是通过 API 流式传输数据,从而提供可衡量的速度提升。
最后,随着 Podman 6.0 即将发布,团队正准备弃用 BoltDB。从 5.7 版本开始,使用 BoltDB 的安装将会显示可见的警告,除非SUPPRESS_BOLTDB_WARNING=true设置了相应的环境变量。建议用户尽早迁移,以免影响未来版本的使用。
更多信息请参见变更日志。
