，因此如果您选择使用基于主机的ID，那么Consul和Nomad将使用信 在主机上自动在两个系统中分配相同的ID。 ● disable-keyring-file：如果设置，密钥环将不会持久保存到文件中。关机时任何已安装的密钥都将 失，-encrypt启动时只有给定的 密钥可用。默认为false。 ● dns-port：要侦听的DNS端口。这将覆盖默认端口8600.这在Consul 0.7及更高版本中可用。 ● do encrypt：指定用于加密Consul网络流量的密钥。该密钥必须是16字节的Base64编码。创建加密 钥的最简单方法是使用 consul keygen。群集中的所有节点必须共享相同的加密密钥才能进行通信。 供的密钥将自动持久保存到数据目录，并在重新启动代理时自动加载。这意味着要加密Consul的八卦 议，只需在每个代理的初始启动序列上提供一次该选项。如果在使用加密密钥初始化Consul之后提供 则忽略提供的密钥并显示警告。 ● 字符）之间 ● 元数据键必须仅包含字母数字-和_字符。 ● 元数据键不能以consul-前缀开头; 保留供Consul内部使用。 ● 元数据值的长度必须介于0到512（含）之间。 ● 开头的密钥的元数据值rfc1035-在DNS TXT请求中逐字编码，否则元数据kv对根据RFC1464编 。 ● -pid-file：此标志提供代理程序存储其PID的文件路径。这对于发送信号很有用（例如，SIGINT

程中被篡改或被冒名发布恶意镜像， 会造成镜像仓库和用户双方的安全风险。 2.2.4 敏感信息泄露攻击 当开发人员使用默认的或在容器镜像中保留硬编码的敏感数据，比如密码、 API 密钥、加密密钥、SSH 密钥、令牌等，或者在 Dockerfile 文件中存储了固 定密码等敏感信息并对外进行发布，都可能导致数据泄露的风险。攻击者会使用 扫描工具，比如 SecretScanner 等，探测镜像中存在的敏感信息，发现容器镜 Interpretation for Serverless[22]。 2.6.2 敏感数据泄露攻击 在无服务器计算体系结构中，敏感数据的暴露与在其他任何体系结构中一样 令人担忧。传统体系结构中使用的大多数方法，如窃取密钥、执行中间人攻击以 及在静止或传输中窃取可读数据，仍然适用于无服务器应用程序。然而，由于无 服务器计算架构的存储共享特点，攻击者可以利用共享存储权限配置错误或漏洞 窃取系统的敏感数据。 全局 这一特点，通过恶意程序植入等手段，获取服务中的全局敏感数据，造成敏感数 据泄露。 密钥的不安全存储：通常，服务被触发的时候需要访问特定的云或外部资源。 要做到这一点，服务可能需要获取密钥。攻击者可以利用未安全存储的密钥或使 用标准凭据集等情况发起攻击，造成严重的数据泄露等。像任何其他使用无服务 器功能的应用程序一样，凭据和密钥的泄漏可能导致虚拟身份和数据泄漏。 2.6.3 身份认证攻击 Serverless

，可扫描发现CNNVD、 CVE等漏洞信息 ， 提 供 详 细的漏洞分析能力联动。 安全风险发现 针对容器镜像内Webshell 、 病毒、木马进行检测；针 对 镜 像 文件中的SSH密钥 、 环境变量中的密码等敏感 信息进行发现，防止敏感 信息泄露。 构建历史命令审计 对镜像文件构建的历史命 令进行审计扫描，对高危 操作进行标记并告警。 镜像发布管控 镜像在被发布之前，依据