Ein Container ist im Grunde ein normaler Linux-Prozess, der durch bestimmte Kernel-Komponenten isoliert vom Rest des Systems läuft. Dies macht Container leichtgewichtiger, aber auch angreifbarer als virtuelle Maschinen (VMs). Um diese Angriffsfläche zu reduzieren, bieten Container-Runtimes vielfältige Einstellungen, deren Standardwerte einen Kompromiss zwischen Benutzbarkeit und Sicherheit darstellen.

An dieser Stelle kann man als Entwickler durch einige good Practices die Angriffsfläche verklei…