go
package main

import (
	"archive/zip"
	"fmt"
	"github.com/gin-gonic/gin"
	"io"
	"net/http"
	"os"
	"path/filepath"
)

cpp
#include <iostream>
#include <string>
#include <cmath>
#include <algorithm>

OCI

OCI（Open Container Initiative）是一个开放的、供应用容器化的技术标准化组织。它的目标是推动容器相关技术的标准化和互操作性，为容器生态系统提供一个统一的基础。

OCI 由多家技术公司和社区组成，包括 Docker、CoreOS、Red Hat、Google、Microsoft 等。它成立于2015年，并得到了业界广泛的支持和参与。

OCI 的工作重点主要包括两个方面：

什么是capabilities>?

capabilities是一种linux安全机制，用于细分和控制进程的权限。它们允许进程在不具备完全root权限的情况下执行特定的特权操作。

传统上，root用户具有完全的系统权限，包括读取、写入和执行任何文件，以及修改系统设置等。然而，这样的权限可能会过于宽松并存在安全风险。为了限制进程的权限，Linux引入了capabilities机制。

接下来讲解一下用unshare和clone来创建NetWor kNameSpace,先讲解一下这两个API:

unshare unshare用于将当前进程分离（unshare）出指定的命名空间（namespace）。它允许进程创建独立于父进程的命名空间，从而实现进程在不同命名空间中运行的隔离。