Den utbredda användningen av Docker kräver ett fokus på säkerhet, vilket adresserar frågor som "är det säkert?" och förändringar i incidentanalys. Viktiga säkerhetsmekanismer i Linux-containers inkluderar kernel name-spaces, cgroup-begränsningar (avgörande för produktionsmiljöer) och vitlistning av systemanrop. Linux-capabilities erbjuder detaljerad kontroll över processprivilegier, vilket möjliggör säkrare Docker-konfigurationer genom att ta bort onödiga capabilities (t.ex. chown, dac_override, setuid, setgid, net_bind_service). Artikeln beskriver flera specifika Linux-capabilities och förklarar när de kan behövas, eller oftare, när de bör tas bort för förbättrad säkerhet. Att köra Docker med flaggan --user (utan capabilities) är säkrast, men om capabilities behövs är det mest praktiska tillvägagångssättet att köra som root med --cap-drop all och sedan lägga till den minsta uppsättningen av nödvändiga capabilities.