Docker Hub 上的私有镜像疑似被其他人下载，涉及到数据库等敏感信息想咨询下是否有应对措施

经过

大概昨天 10 月 5 号晚上 10 点左右在 Docker Hub 创建私有仓库并将镜像 Push 上去，睡前检查了 Downloads 数量为 1 。
10 月 6 号早上起来看了一下 Downloads 数量仍然为 1，但是挂上 Clash 的 Rule 模式代理之后连上 Linux 开发用服务器，被下载次数就一下子涨到 7 了。

搜索

尝试用 "Docker Hub"、"Private Repository" 和 "downloaded" 这些关键词搜了一下，只有这篇讨论描述了一样的情况：Private repo getting downloaded from docker.hub，回答中也没有有用的信息。

回顾

主要的操作步骤如下：

1. 通过 code-server 的终端下载 GitHub 上的私有仓库并通过 docker build 命令构建镜像。
2. 用 code-server 下的终端 docker login 后 docker push 推送至私有仓库。
3. 网页端登录 Docker Hub 并检查是否推送成功。

code-server 页面和 Docker Hub 页面的使用都走 Clash Rule 模式的代理，代理提供者为第三方。
code-server 页面和 Docker Hub 页面登录时的协议都是 HTTPS 。

推测

中文社区和论坛中几乎没有描述过这一问题的，或者说几乎没有人出现这样的情况，只能根据我自己的操作步骤推测哪一步造成账号密码泄露了：
1 、Docker Hub 仓库存在某些安全措施，比如官方执行镜像漏洞扫描的时候会下载镜像......
2 、使用时某一步被中间人劫走了密码，涉及到的场所有 Rancher 、code-server 、GitHub Action 和 Docker Hub 。

想咨询下大家

1 、有碰到同样的情况并做过排查的吗，现在能期待的最好的结果就是官方扫描导致的下载次数增加了......
2 、配置文件中的敏感信息是一起打在 Docker 包里的多，还是运行时用环境变量传进去的多？（涉及到数据库的信息和 RabbitMQ 等中间件的信息，比较多）
3 、还有其他同时支持 GitHub Action 推送和 Rancher 镜像库的自建或者第三方 Docker 镜像库推荐吗？