伙计们，认真说一下，我们的生态系统过于依赖 Docker，而我们应该更多地推动 Podman。如果我们真的重视安全（而且我们绝对应该重视，哈哈），我们就必须在可能的情况下使用 Podman。你知道的，_两者_都运行相同的 OCI 兼容容器，但 Podman 的 _无守护进程_、_无根_ 设置使其更轻、更安全，整体上更干净（自己试试吧！）。它与 k8s 自然契合，避免了特权守护进程的麻烦，并让你真正控制你的环境。当然，Docker 在便利性和精致度上仍然占优势（不过我们不应该太在意），但如果我们真的关心安全和长期的理智，Podman 应该是默认选择。连 Gentoo 都提到这一点。