容器安全加固

建议用户在生产环境中进行如下操作，加固镜像。

• 在基础镜像中创建非root用户，并且以非root用户启动镜像、启动进程，同时仅授予用户必要的capability，避免高权限用户造成容器逃逸等安全风险。
• 合理控制镜像中文件的属主和权限，避免不必要的越权访问造成容器逃逸等安全风险。
• 及时修复基础镜像中的漏洞。
• 分发镜像时，建议开启Docker的Content trust功能。