Docker BuildKit与多阶段构建：镜像体积与安全治理

Docker BuildKit与多阶段构建：镜像体积与安全治理概览多阶段构建将编译与运行时拆分，显著降低镜像体积与攻击面；BuildKit 提供高效缓存与并行构建。配合 rootless 与最小权限实践提升安全性。技术参数（已验证）多阶段：`FROM builder AS build` 与 `FROM runtime`；仅复制产物与必要依赖。缓存与秘密：`--mount=type=cache` 与 `--mount=type=secret`；避免泄露与重复下载。安全基线：使用最小镜像（alpine/distroless）；设置非 root 用户与只读文件系统。可复用：启用 inline cache 与 buildx；跨平台构建与 SBOM 生成配合供应链治理。.dockerignore 与层：合理拆分与忽略，减少层与无用文件。实战清单将编译链与运行时彻底分离；对第三方依赖进行裁剪与签名验证。在 CI 中开启 BuildKit 与缓存；对秘密挂载进行合规审计。定期扫描镜像漏洞与过期包；设置自动化修复与重建策略。