Что такое distroless image?

Distroless — образы от Google, которые содержат только рантайм приложения, без пакетного менеджера, шелла, утилит. Для Go это gcr.io/distroless/static — по сути пустой образ с корневыми сертификатами и tzdata. Размер — пара мегабайт. Плюс — минимальная поверхность атаки: нет шелла — нельзя получить shell access при взломе. Минус — нельзя зайти в контейнер для дебага. Для Go-сервисов на проде это отличный выбор, потому что Go компилируется в один статический бинарник.