https://socake.github.io/tags/%E5%AE%B9%E5%99%A8%E5%AE%89%E5%85%A8/Recent content in 容器安全 on 黄文卓 | DevOps EngineerHugo -- gohugo.iozh-CN17691281867@163.com (Wenzhuo Huang)17691281867@163.com (Wenzhuo Huang)© 2026 Wenzhuo HuangWed, 18 Mar 2026 10:00:00 +0800https://socake.github.io/posts/container-image-build-optimization/Wed, 18 Mar 2026 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/container-image-build-optimization/深入剖析容器镜像构建优化的每个环节：BuildKit 并行构建与 Secrets 注入、Go/Python/Node.js 多阶段 Dockerfile 模板、–mount=type=cache 与远程缓存、Distroless vs Alpine 选型、dive 分析层内容，以及完整的供应链安全闭环（syft SBOM + Cosign 签名 + K8s 准入控制验签）。https://socake.github.io/posts/kubernetes-pod-security-standards/Fri, 21 Nov 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/kubernetes-pod-security-standards/一份从 PSP 迁移到 Pod Security Standards 的实战笔记：对比 Baseline 与 Restricted 两套 profile 的实际约束、Pod Security Admission 的三种 mode、如何一次性迁移 200+ 命名空间、和 Kyverno/OPA 互补使用的最佳实践，以及遗留业务 securityContext 改造的典型模式。https://socake.github.io/posts/falco-runtime-security-deep/Fri, 03 Oct 2025 09:30:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/falco-runtime-security-deep/一份来自生产环境的 Falco 实战笔记：从 eBPF 驱动选型、规则开发方法论、误报治理，到与 Falcosidekick、Loki、SIEM 的告警联动，覆盖 0.40/0.41/0.42 三个版本的关键变更与真实踩坑案例。https://socake.github.io/posts/devsecops-practice/Wed, 20 Aug 2025 10:30:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/devsecops-practice/安全不是最后一道关卡，而是嵌入每个研发环节的连续过程。本文从代码静态分析、依赖漏洞扫描、镜像安全、K8s 运行时防护到供应链签名，逐层拆解 DevSecOps 的完整实施路径，并给出一个可落地的流水线设计。