Вы также можете определить пользователя также для изображений из SCRATCH, используя команду USER в Dockerfile или когда вы запускаете контейнер (--user=).Самым безопасным вариантом будет не пользователь root, указанный командой USER в Dockerfile - это будет опция контейнера по умолчанию.Если контейнеру нужен пользователь root, вы можете использовать пространства имен пользователя , поэтому реальный root не будет использоваться в контейнере.
Кстати: типичная проблема для пользователей без полномочий root - низкая привязка порта, но вы можете привязать высокие порты или использовать --cap-add net_bind_service / --sysctl net.ipv4.ip_unprivileged_port_start=0 (ядро 4.11 +).