如何安全扫描docker图像？

我知道像Clair，Open SCAP等工具，似乎基于安装的软件库进行安全扫描容器映像，并将它们与CVE数据库进行比较。

一个开发人员用户显然可以撤销图像中以前图层的良好工作，无论是恶意还是遗漏，从而暴露一个容器（例如，添加的用户帐户，端口打开等）。有没有一种方法（除了图像构build文件的明显的手动代码审查），将允许自动扫描图像，可以检测到这样的事情？我对如何在CI / CD阶段扫描容器图像感兴趣。

我想在非启用Internet的环境中执行此操作。不包括基于云的解决scheme。