容器供应链安全：SBOM、签名与SLSA

容器供应链安全：SBOM、签名与SLSA概览供应链安全关注构建来源与依赖可追溯。通过 SBOM 与签名/验证策略，降低恶意注入与不合规风险。技术参数（已验证）SBOM：记录构建产物的依赖与版本，支持审计与漏洞扫描。签名：利用 Sigstore/Cosign 对镜像进行签名与验证，绑定来源与时间。SLSA：供应链级别框架定义来源与构建可信度等级。实战清单在 CI/CD 中生成 SBOM 并进行漏洞扫描与合规校验。强制签名与策略验证，防止未签名镜像部署。