Песочница — специально выделенная среда для безопасного исполнения компьютерных программ
Герметиза́ция — обеспечение непроницаемости для газов и жидкостей поверхностей и мест соединения деталей. (тут можно было бы просто обойтись словом изолированность)
Секьюрити это безопасность. Можно уловить связь между песочницей, безопасностью и герметичностью
Теперь про смысл самого вопроса
chroot можно сказать дедушка виртуализации. Но он не безопасен. Его сложно кому либо доверить. Естественно кто то может захотеть "выбраться наверх"
В докер контейнер можно зайти извне. Можно ли выйти изнутри? Какие могут быть дыры в виртуализации и изоляции? Насколько это безопасно по сравнению с другими системами виртуализации? Докер сделан очень хитро, оверхед ресурсов минимален. Но есть ли ложка дегтя в этой бочке меда?
Контейнеров в докерхабе много. Теоретически кто то может выложить образ, который будет делать не совсем то, что ты думаешь (иметь вредоносный код). Понимаю, тут человеческий фактор большой. Но он есть. Насколько здесь спасает виртуализация докера?
