关于容器安全基线配置标准？

非常好的问题！
风险来自于两个大的方面，一是漏洞，二是配置不当。容器的配置风险分为三个方面：
1）K8S集群配置，例如kublet是否允许匿名访问；
2）Docker配置，例如是否以特权模式启动；
3）容器镜像配置，例如是否存在不必要的软件组件；
如果考虑得再完善一些，还可以考虑主机上的配置和网络上的配置。其实都在CIS-Benchmark里有相关描述，获取链接：https://learn.cisecurity.org/benchmarks
对应不同的K8S和Docker版本，标准也略有差异。因基线标准内容较多，所以在本回复中就不讨论细节。

备注：CIS的规范制定并未考虑中国的国情，所以在落地时通常需要企业根据自身情况对规范进行裁剪。

1.任何形式的特权容器
2.容器运行最小权限账户
3. 任何形式的无状态容器，但文件系统可写
4.容器运行的用户
5.应用二进制依赖包的安全扫描
6.镜像安全策略------应该不属于容器内生安全
7.网络安全策略 ------应该不属于容器内生安全
8.CIS安全基线扫一扫，kube-bench
9.镜像安全工具扫一扫，trivy
10.。。。