Docker 安全最佳实践包括:使用官方或可信的基础镜像、定期更新镜像以修复安全漏洞、避免在镜像中存储敏感信息(使用环境变量或 secrets)、以非 root 用户运行容器、限制容器的资源使用、使用 --read-only 标志使容器文件系统只读、使用 Docker Content Trust 验证镜像签名、限制容器的 capabilities(使用 --cap-drop 和 --cap-add)、使用 AppArmor 或 SELinux 增强安全隔离、定期审计和监控容器。
