随着容器及微服务架构的兴起，容器化部署已经成为云原生实践的重要部分，越来越多的公司将应用部署在容器平台上。自然的，随着容器的广泛使用，容器的安全性就成为了业界关注的焦点，容器镜像安全扫描工具也随之诞生，如：Clair，Anchore Engine，Quay，Trivy等。容器是基于镜像构建的，如果镜像本身就是一个恶意镜像或是一个存在漏洞的镜像，那么基于它搭建的容器自然就是不安全的了，故镜像安全直接决定了容器安全。

为什么容器镜像会产生安全问题？

在传统的部署方式中，应用依赖于操作系统中的环境。在配置好环境后，应用可以稳定地运行。但是随着技术的发展，传统部署带来的问题越来越严重。因为多个应用对运行环境的不同要求，导致应用部署产生了很多出乎意料的麻烦，在琐碎的环境问题上消耗了许多精力。因此，容器化部署被引进以应对这种情景。容器安装了运行时所需要的环境，并且要求开发人员将他们的应用程序及其所需的依赖关系打包到容器镜像中。 无论其他开发人员和操作系统如何，每个开发人员都可以拥有自己的依赖版本。最终不论是用户还是开发者都在这种部署方案中受益匪浅，开发者可以轻松地在不同环境中测试应用的运行情况，在发布新版本的时候也不必为环境的改变而定制升级教程；用户在使用容器部署时也十分便利，并且不同的软件之间也不会相互影响。

理想情况下，容器镜像应该只包含应用程序的二进制文件及其依赖项。 然而实际上，容器镜像往往是相当巨大的。像Ubuntu、Centos这样被广泛使用的基础系统镜像，它们包含了相当多的无用功能。尽管有些功能在调试部署的时候带来了一定的便利，但是在增大的体积面前，收益极低。容器实际上是不透明的，被封装成一个个繁琐的镜像。

 最终，当越来越多的容器被创建时，没有人再确定容器到底装载了什么？实际运行着什么？正是因为如此，我们日常使用的镜像面临严峻的安全问题。随着历年来积累的CVE越来越多，很多应用都存在一些问题，在更新频率低的镜像中尤为严重。

本次的答疑活动重点围绕：

1、容器镜像构建；

2、容器权限管理；

3、容器敏感数据管理；

4、容器镜像安全扫描；

5、镜像签名验证 。

这五个维度进行解答容器镜像安全。

 本期的线上答疑twt社区特别邀请了：容器云安全课题组专家成员参与解答分享。

本场活动来自：容器云安全课题，更多课题组活动和内容可以扫描下方二维码查看，点击此处进入云原生应用创新实践联盟。

常青  某股份制银行信息科技部

主要负责项目管理和开发安全体系建设方面的相关工作。主要擅长web应用安全威胁与防治，容器云安全风险排查与评估。

孙洪轩   光大科技  自动化专家

多年IT研发经验，近几年一直深耕区块链，云原生等前沿技术领域。先后为集团设计并建设了区块链云服务平台，容器云PaaS平台等中大型项目。具备丰富的软件架构设计，项目落地经验。

刘斌  中移信息  架构师

清华大学工程管理硕士，信通院容器云原生安全规范主要编写者之一，云安全联盟（CSA）专家会员，曾在某容器安全头部厂商担任产品总监，现作为云原生安全专家就职于中移信息。持有EXIN DevOps Master、PMP、CCSK、CISP、AWS SAP等各类认证，在安全产品与解决方案有超过10年的探索和实践。