如何确保构建的容器镜像满足系统安全要求？

手工扫描，说明您那边已经有容器镜像安全扫描的工具，只是没有自动化触发这个流程。

自动化触发扫描的能力，通常不是扫描工具具备，而是由CI/CD流水线工具作触发，例如常见的Jenkins，或者其他DevOps平台。
只要将镜像扫描编排进流水线中，在生成新镜像后将镜像URL传递给镜像扫描工具，并下达扫描指令，然后再等待结果进行展示。

所以您可能缺少的是一个DevOps平台，一方面编排调度各类工具，一方面对各种工具的输出结果进行统计分析度量。

对于容器镜像安全的保证,可以秉承预防为主,防治结合的理念来进行。所谓防,就是要在编写 Dockerfle 的时候,遵循最佳实践来编写安全的 Dockerfile;还要采用安全的方式来构建容器镜像;所谓治,即要使用容器镜像扫描,又要将扫描流程嵌入到 CI/CD 中,如果镜像扫描出漏洞,则应该立即终止 CI/CD Pipeline,并反馈至相关人员,进行修复后重新触发 CI/CD Pipeline。

一般的容器云产品中，流水线会集成开源的扫描工具clair用于扫描镜像漏洞，在使用流水线构建镜像的时候就可以对镜像进行安全扫描。

如果对开源的扫描工具不满意，可以购买专业的容器安全产品，这些安全产品基本都支持在构建中进行镜像安全扫描。