Ya he visto mucha tinta derramada acerca de cómo Docker no está lo suficientemente aislado para permitir que se ejecuten contenedores arbitrarios en un entorno de múltiples inquilinos, y eso tiene sentido. "Si es root en Docker, considérelo root en la máquina host". ¿Qué pasa con el no root aunque?
Si quiero tomar un código que no sea de confianza y ejecutarlo en un contenedor, ¿se puede hacer de manera segura siempre que el contenedor se ejecute como un usuario no sudo no root? ¿Cuáles son los peligros potenciales de la seguridad de hacer algo así?
Estoy bastante seguro de que hay aplicaciones de producción que hacen esto hoy (sistemas CI, pastebins ejecutables), pero ¿tienen la suerte de no tener un atacante determinado o es algo razonable en un sistema de producción?