容器镜像安全与供应链 SLSA 实践（2025）

容器镜像安全与供应链 SLSA 实践（2025）供应链安全贯穿构建到部署的全流程。本文结合 SLSA 框架给出工程落地。一、构建链与可追溯记录：保留构建来源、脚本与工件校验信息，支持溯源。隔离：最小权限与隔离构建环境，降低污染风险。二、SBOM 与组件治理SBOM：生成组件清单，识别风险依赖与许可证问题。修复：针对漏洞与合规问题制定更新与替代策略。三、签名与验证镜像签名：对镜像进行签名与验证，防止篡改与伪造。准入策略：在部署环节强制签名与扫描通过。四、镜像扫描与策略扫描：在构建与发布前执行镜像扫描与基线检查。策略：按风险等级设定阻断与告警规则。注意事项关键词、分类与描述与正文一致；框架与能力为通用与可验证实践。将供应链安全纳入流水线与准入策略，形成闭环。