容器安全升级时遇到的问题？

1.镜像中病毒或木马应如何处理？
1）如果是已经有运行实例的镜像，建议对容器实例进行下线；
2）清除病毒木马，重新构建镜像，重新部署容器，恢复业务；
3）调查中病毒的原因，是基础镜像污染、还是业务软件部分污染。明确病毒木马通过什么样途径进入到镜像中，修复管理漏洞。
对于服务器端软件，发生病毒木马事件的概率相对较低，有统计分析dockerhub中存在后门的镜像占比0.16%，但虽然是存在的，需要注意，尤其是挖矿类木马和webshell。

2.镜像中有敏感路径挂载时应如何处理？
不挂载。大部分对敏感路径的挂载是不合理的配置导致，移除掉对应挂载即可。

3.镜像中敏感文件的访问权限如何做到权限隔离，如需要整改时如何平滑升级？
镜像中不要保留敏感文件。
通常而言，敏感文件是指用户口令、token之类。此类配置信息可以通过配置中心来进行设定，例如k8s提供的secret机制，或者Java软件可以使用Apollo这类配置中心进行维护。但镜像内不应该存在敏感信息。