云原生安全威胁分析与能力建设白皮书 21 下面我们对威胁全景中攻击路径 1 至路径 5 的具体攻击手段，进行详细的 分析。 2.2 路径 1：镜像攻击 镜像是一个包含应用/服务运行所必需的操作系统和应用文件的集合，用于 创建一个或多个容器，容器和镜像之间紧密联系，镜像的安全性将会影响容器安 全。图 6 展示了攻击者利用镜像进行攻击的主要方式。 图 6 容器镜像安全风险 2.2.1 镜像投毒攻击 攻 RBAC 对象，分 别 为 Role 、 ClusterRole 、 RoleBinding 和 ClusterRoleBinding 。 Role 及 ClusterRole 分别为某些权限的集合，例如 Pod 的“get”、“watch”和“list” 权限，RoleBinding 和 ClusterRoleBinding 资源则是将这些权限与特定的用户 进行绑定。 CVE-2018-1002105[26]是一个