Docker 容器安全扫描用于检测镜像中的安全漏洞。常用工具:1)Docker Scout(Docker 官方工具,集成到 Docker CLI);2)Trivy(开源,支持多种格式);3)Clair(开源,可自建扫描服务);4)Anchore(企业级,支持策略管理);5)Snyk(商业服务,集成 CI/CD)。扫描内容:操作系统漏洞、应用依赖漏洞、配置问题、敏感信息泄露。最佳实践:在 CI/CD 流程中集成安全扫描、定期扫描已部署的镜像、及时修复发现的高危漏洞、使用官方或可信的基础镜像。
