nexus/wiki/sources/ctp-topic-49-container-lifecycle-hardening-standards.md

---
title: "CTP Topic 49 Container Lifecycle Hardening Standards"
type: source
tags: [Container, Security, Hardening, CTP, Micro Focus]
date: 2026-04-14
---

## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-49-container-lifecycle-hardening-standards.md]]

## Summary
- 核心主题：Micro Focus 容器生命周期加固标准，聚焦构建阶段的安全最佳实践
- 问题域：容器镜像安全、运行时安全配置、供应链安全
- 方法/机制：11 项容器镜像构建标准，涵盖基础镜像选择、敏感信息管理、文件系统加固、镜像扫描等
- 结论/价值：为容器化应用提供系统化的安全加固指导，降低容器被攻破的风险

## Key Claims
- 使用 Micro Focus 基础镜像可避免开源默认镜像的已知漏洞
- 采用 init 系统（如 teeny）可处理信号并防止僵尸进程耗尽资源
- 敏感信息不应嵌入容器镜像，应使用 Kubernetes Secrets 在运行时获取
- 只读文件系统（readOnlyRootFilesystem=true）可防止未授权文件创建
- 每个容器应只运行一个应用程序，防止进程间相互干扰
- 禁用容器内 Kubernetes API 访问（automountServiceAccountToken=false）可限制潜在 compromise 的影响范围
- 应使用私有服务账户而非默认服务账户，控制权限并最小化权限提升

## Key Quotes
> "Use micro focus base image which are configured to be secure with non and trust weighted components." — Ashish, Product Security Group
> "If one application is compromised process in one application can interfere with the process of other application in the same container." — 标准说明

## Key Concepts
- [[Container-Lifecycle-Hardening]]：容器全生命周期（构建、部署、运行）的安全加固实践
- [[Container-Image-Scanning]]：使用扫描工具识别容器镜像中的漏洞
- [[Read-Only-Root-Filesystem]]：将容器根文件系统设为只读的安全配置
- [[Init-System]]：容器内的初始化进程，用于处理信号和回收僵尸进程
- [[Kubernetes-Service-Account]]：Kubernetes 中用于 Pod 身份认证的机制

## Key Entities
- [[Micro Focus]]：企业软件公司，产品安全组制定本标准
- [[Kubernetes]]：容器编排平台，本标准主要针对 K8s 环境
- [[Ashish]]：Product Security Group 安全专家，本课程讲师

## Connections
- [[Container-Lifecycle-Hardening]] ← applies_to ← [[Micro Focus]]
- [[Container-Image-Scanning]] ← depends_on ← [[Kubernetes]]
- [[CTP Topic 21 Supply Chain Security in Micro Focus]] ← relates_to ← 本标准（供应链安全）

## Contradictions
- 本标准专注于构建阶段，部署和运行阶段的标准将在后续会议中覆盖