背景

镜像漏洞扫描只是起点。上线前还需要回答:这个镜像是谁构建的,包含了什么依赖,是否被篡改。

落地步骤

  1. 构建后生成 SBOM
  2. 对镜像做签名
  3. 部署侧验证签名
syft packages ghcr.io/org/app:latest -o spdx-json > sbom.json
cosign sign ghcr.io/org/app:latest
cosign verify ghcr.io/org/app:latest

总结

供应链安全要形成闭环:生成、签名、验证,缺一不可。

可观测运行时,也要可追溯构建时。