Что такое USER инструкция и почему важно запускать не под root?

По умолчанию процессы в контейнере запускаются от root — если атакующий вырвется из контейнера, он получит root на хосте. USER задаёт пользователя для следующих RUN/CMD/ENTRYPOINT. Паттерн: создать группу и юзера без shell, назначить права на нужные директории, переключиться на него. В Kubernetes дополнительно SecurityContext запрещает escalation привилегий. Базовая практика безопасности.