钉 buildkit 到 v0.13.2 以兼容 DSM 老内核

runc 1.2.0 (2024-09) 引入 procfs 安全检查（CVE-2024-21626），依赖 openat2 (kernel 5.6+) 与 fsmount/fscontext (kernel 5.2+)。 DSM 7 系列内核仍是 4.4.x，syscall 不存在，runc 启动 build container 时报 "unsafe procfs detected" 直接失败。钉 buildkit v0.13.2 自带 runc 1.1.12，绕开新检查。 Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-02 15:27:39 +08:00
parent e570e62bf1
commit acdbb5bfbe
1 changed files with 5 additions and 0 deletions
@@ -24,6 +24,11 @@ jobs:

      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v3
+        with:
+          # 钉到 v0.13.2（自带 runc 1.1.x），避免 runc 1.2+ 的 procfs 安全检查
+          # 在 DSM 老内核（4.4.x）上撞 openat2/fsmount 不存在导致 build 失败
+          driver-opts: |
+            image=moby/buildkit:v0.13.2

      - name: Login to Gitea Container Registry
        uses: docker/login-action@v3