手工扫描，说明您那边已经有容器镜像安全扫描的工具，只是没有自动化触发这个流程。自动化触发扫描的能力，通常不是扫描工具具备，而是由CI/CD流水线工具作触发，例如常见的Jenkins，或者其他DevOps平台。只要将镜像扫描编排进流水线中，在生成新镜像后将镜像URL传递给镜像扫描工具，并...

从安全的角度来说，用户密码需要定期修改

- 总体上，容器云安全，是在传统安全体系进行衔接和扩展对接。譬如容器的入侵检测、入侵拦截纳入到SOC安全运营中心中进行统一响应处理。- 对入侵事件进行分类，并且制定相应的处理策略。譬如南北流量，互联网接入DMZ区的响应处理，首先是在防火墙或者ingress处理断开流量。- 容...

进行系统恶意文件检测可以给予CVE规则库对文件系统进行扫描：1. 一般可以对宿主机上的所有镜像层进行扫描，一般docker镜像存储在/var/lib/docker目录下，我们可以运行进程对改目录下每一个镜像层进行扫描，然后根据 CVE库对每一层的文件进行匹配，判断是否存在恶意文件。2.如果...

这方面是有所欠缺的，主流的安全厂商工具尚不支持国产库，这部分还需持续增强。当前使用上，还需更多依赖国产库厂商自身，评估解决可能潜在的安全漏洞。

Ansible的扩展性非常强，可以用API对Ansible进行二次封装或者做成单独的系统对外提供HTTP接口服务，也可以使用API与公司现有的其它系统进行整合。Ansible可以支持使用Python语言编写它的各种插件。...

现在的杀毒厂商一般都有针对LINUX版本的杀毒。不过好像在实际环境中部署的并不多。大家或者裸奔。或者选择杀毒网关和虚拟化层面的杀毒来解决。以前我们买过两个linux的客户端。实际应用好像也并不是太理想。所以后来逐渐的都选择了了在网络边界进行安全加固。特别是现在...

目前很多杀毒厂商都有针对虚拟化的杀毒。趋势的无代理方案。还有360的轻代理方案。都是针对虚拟化底层平台的杀毒方案。而不需要在上层终端上一个个的安装。

现在好多的安全事件都是基于正常的业务端口访问进行的。除了密码，权限的管理。我觉得还应该采用堡垒机保证服务器的操作安全，采用IPS .WAF设备来过滤危险的攻击行为。