Docker BuildKit与多阶段构建：镜像体积与安全治理

# Docker BuildKit与多阶段构建：镜像体积与安全治理 ## 概览 - 多阶段构建将编译与运行时拆分，显著降低镜像体积与攻击面；BuildKit 提供高效缓存与并行构建。 - 配合 rootless 与最小权限实践提升安全性。 ## 技术参数（已验证） - 多阶段：`FROM builder AS build` 与 `FROM runtime`；仅复制产物与必要依赖。 - 缓存与秘密：`--mount=type=cache` 与 `--mount=type=secret`；避免泄露与重复下载。 - 安全基线：使用最小镜像（alpine/distroless）；设置非 root 用户与只读文件系统。 - 可复用：启用 inline cache 与 buildx；跨平台构建与 SBOM 生成配合供应链治理。 - .dockerignore 与层：合理拆分与忽略，减少层与无用文件。 ## 实战清单 - 将编译链与运行时彻底分离；对第三方依赖进行裁剪与签名验证。 - 在 CI 中开启 BuildKit 与缓存；对秘密挂载进行合规审计。 - 定期扫描镜像漏洞与过期包；设置自动化修复与重建策略。