主要观点：容器安全在于确保运行低漏洞和低恶意软件的镜像，虽难达零漏洞但要处理关键至中等漏洞。可将容器安全视为剥洋葱，各层增加抵御潜在威胁能力，文中介绍增加容器基础设施整体安全性的步骤。
关键信息：

• 最小化和强化镜像：用含少量包的基础镜像，如 alpine、pything:3.12-slim、distroless 等，Docker 有 Docker Hardened Images 提供近零 CVE 镜像等。
• 安全镜像供应链：重视从可信源下载，SBOMs 可验证软件来源，Docker Scout 提供免费全面漏洞扫描，不同于其他开源扫描仪。
• 最小权限和无根容器：以非 root 运行容器并结合根文件系统，可在 Dockerfile 等中设置，如 Kubernetes 中设置 runAsUser 和 runAsNonRoot 等。
• 秘密和加密：勿将秘密加至容器镜像，用云密钥库或 Kubernetes Secrets 存储，可加密 Docker 镜像，且要进行数字签名确保合法性。
• 运行时安全和监控：Falco 等开源工具可检测容器内特权升级等尝试及异常网络连接等，还可发送警报，建议用自动化实施安全规则以防人为错误。
  重要细节：
• Docker Scout 命令示例及扫描出的不同 CVE 及其影响范围和修复版本。
• Kubernetes 中运行只读文件系统和非 root 容器的 YAML 示例及 Docker 运行只读文件系统的 PowerShell 示例。
• 各种容器注册服务如 Harbor、Azure Container Registry、AWS ECR 支持的加密方式。