将容器根文件系统设置为只读是提高安全性的有效方法，能限制攻击容器的损害并保护核心目录。虽然某些应用需要可写空间，但可以将特定目录挂载为可写卷。实施只读文件系统需审查应用的写入路径，并在Kubernetes等环境中一致执行。结合其他安全措施，能有效防止潜在危害，提升安全性和审计能力，适用于高安全性场景。