Auto-sync: 2026-04-19 16:02

wiki/concepts/Container-Lifecycle-Hardening.md

@@ -0,0 +1,34 @@
+---
+title: "Container Lifecycle Hardening"
+type: concept
+tags: [Container, Security, Hardening, Kubernetes]
+last_updated: 2026-04-19
+---
+
+## 定义
+容器生命周期加固是指在容器构建、部署和运行各个阶段实施安全最佳实践的系统化方法。Micro Focus 产品安全组制定的容器生命周期加固标准聚焦于构建阶段的安全实践。
+
+## 核心组件
+
+### 1. 构建阶段标准（11 项）
+- 使用 Micro Focus 基础镜像
+- 采用 init 系统（如 teeny）
+- 确保镜像不含敏感信息
+- 使用只读文件系统
+- 使用 emptyDir 卷处理临时文件
+- 镜像扫描检测漏洞
+- 单容器单应用
+- 禁用 Kubernetes API 访问
+- 使用私有服务账户
+- 避免主机网络模式
+- 避免主机端口
+
+### 2. 关键概念
+- [[Read-Only-Root-Filesystem]]：只读根文件系统配置
+- [[Container-Image-Scanning]]：镜像漏洞扫描
+- [[Init-System]]：容器初始化进程
+- [[Kubernetes-Service-Account]]：K8s 服务账户
+
+## 相关资源
+- 来源：[[CTP Topic 49 Container Lifecycle Hardening Standards]]
+- 相关：[[CTP Topic 21 Supply Chain Security in Micro Focus]]