A. 仅在生产环境中部署后，通过运行时安全监控工具扫描容器漏洞

✅ B. 在CI/CD流水线中集成镜像漏洞扫描工具，对基础镜像和构建产物进行扫描，并设置策略阻止含高危漏洞的镜像部署

C. 使用最新的、未经修改的官方基础镜像，无需额外扫描即可保证安全

D. 仅依赖定期的人工安全审计，检查镜像中是否包含恶意软件

答案解析

选项B正确：将镜像漏洞扫描集成到CI/CD流水线是实现‘安全左移’的关键实践，能在开发构建阶段主动发现漏洞，并阻断风险进入生产环境。选项A错误：运行时扫描发现漏洞时为时已晚，且成本更高。选项C错误：官方镜像也会包含已知漏洞，必须扫描确认。选项D错误：人工审计无法覆盖海量且快速更新的CVE数据库，效率低下且不可持续。