HOMELv058 Pod Security Admission (PSA) の `restricted` ポリシーでは、`capabilities` の設定はどうあるべきか。 2026年1月24日 `NET_BIND_SERVICE` 以外のすべてのケーパビリティを `drop: コンテナイメージのビルド時に `npm install` などを実行する際、ロックファイル(package-lock.json, yarn.lock)を使用しない場合のリスクはどれか。 Falcoの `k8s_audit` ルールで、特定のユーザー(例: “system:serviceaccount:…”)によるアクションを除外したい場合、どのフィールドを条件に使用するか。
