当前位置: 首页 > news >正文

6.2 镜像安全:从签名到漏洞扫描,打造可信软件供应链

news 2026/5/12 7:19:41

6.2 镜像安全:从签名到漏洞扫描,打造可信软件供应链

1. 引言:镜像是生产的“载体”

将“可信”的定义写进镜像:可追溯(来源确定)、可验证(签名验签)、可评估(SBOM+扫描)。

2. SBOM:先列清单,再谈风控

2.1 生成 SBOM(Syft)

syft packages harbor.example.com/prod/payment:v1.2.3 -o cyclonedx-json>sbom.json
  • 建议输出 CycloneDX 格式;
  • sbom.json作为流水线工件归档,关联构建号与提交 SHA。

2.2 漏洞评估(Grype)

grype sbom:sbom.json --fail-on high
  • 以严重级别(critical/high)作为门禁阈值;
  • 结合“允许列表”实现渐进整改。

3. 签名与验签:cosign/Notary v2

3.1 cosign 签名

COSIGN_EXPERIMENTAL=1cosign sign\--key cosign.key\harbor.example.com/prod/payment@sha256:abcd...
  • 推荐基于 OIDC/KMS 的“无密钥签名”(keyless),降低密钥保管风险。

3.2 签名与 SBOM 绑定(OCI 附件)

  • cosign/ORAS 支持将 SBOM、签名作为 OCI Artifact 附件与镜像摘要锚定;
  • 生产验收可通过摘要(不可变)进行关联校验。

4. CI 流水线集成(GitHub Actions 示例)

-name:Build imageuses:
http://www.jsqmd.com/news/278588/

相关文章:

  • 详细介绍:javaEE:多线程,单列模式和生产者消费者模型
  • CORS配置避坑指南,90%开发者忽略的跨域安全细节大公开
  • AF594标记的Streptavidin,一种基于生物素-链霉亲和素体系的AF405荧光探针
  • 字符串判空的5种方式大比拼(哪种效率最高?)
  • 实测总结:AI生成PPT的6个常见坑,新手必看
  • 线性注意力(Linear Attention,LA)学习
  • Parquet 入门详解:深入浅出全解析
  • AF430标记的Streptavidin,链霉亲和素AF430偶联物:光谱特性、实验应用与操作要点
  • ubuntu系统下,vim编辑时候,如何显示行数
  • uniapp vue h5小程序奶茶点餐纯前端hbuilderx
  • 空指针不再怕,Java字符串判空实战技巧全解析
  • 6.3 密钥隐身术:Sealed-Secrets 与 Vault 的 K8s 密钥管理之道
  • 单细胞质量控制常见指标的解读学习
  • 6.4 守门员机制:使用 Kyverno 实施 K8s 准入控制与安全策略
  • 【Java百万级Excel导出性能优化实战】:20年架构师亲授7大内存与IO瓶颈突破方案
  • Java单例模式选型决策树(附HotSpot 8–17实测数据):哪种实现吞吐量高37%、内存占用低2.1倍?
  • 还在为提取链接发愁?1个正则搞定所有网页URL抓取场景
  • 盘点深圳青宸精密科技可提供的汽车变速器连接器,专业供应企业有哪些?
  • 依赖冲突频繁爆发?掌握这4种高阶策略,轻松实现项目稳定构建
  • 探讨汽车变速器连接器,青宸精密科技提供的产品性价比哪家高?
  • 投影机出租服务对比:2026年值得考虑的厂家,8000流明投影机/8K投影机/投影仪出租,投影机出租供应厂家哪家好
  • 亚马逊绿标:不止大促流量,更是品牌复购的长期护城河
  • 2026年口碑好的食材配送一站式服务商排名揭晓,旺利涛食品排前列
  • Java 21虚拟线程上线前必读:5大关键性能指标深度剖析
  • HashMap为什么线程不安全?底层实现原理告诉你真相
  • 【HashMap源码级剖析】:掌握put/get操作的底层执行流程
  • 2026年诚信的食材配送一站式服务商排行榜,旺利涛食品排名如何?
  • 好写作AI:论文“含我量”自查指南——别让AI抢了你的C位!
  • 救命神器8个AI论文网站,MBA毕业论文轻松搞定!
  • 好写作AI:摆脱“网瘾式依赖”,建立健康AI协作关系的三步戒断法