La seguridad en contenedores abarca desde la imagen base hasta la configuración de runtime. Un contenedor inseguro compromete todo el host.
Imágenes base
Usa imágenes oficiales y actualizadas. Prefiere -slim, -alpine o distroless. Escanea vulnerabilidades con docker scout o trivy.
Principio de mínimos privilegios
No ejecutes como root: USER nobody en Dockerfile. Capacidades de Linux mínimas: --cap-drop ALL --cap-add NEEDED. Modo de solo lectura: --read-only.
Secrets y variables
Nunca incluyas secretos en la imagen. Usa --secret de BuildKit para construir, y variables de entorno o montajes de secretos para ejecutar.
Runtime
Actualiza el engine y las imágenes regularmente. Usa docker scan o trivy en CI. Límites de recursos: --memory, --cpus. No expongas el socket de Docker.

