代码签署

构建代码签署 提供有关镜像构建方式及其包含内容的详细信息。这些代码签署在构建时由 BuildKit 生成,作为元数据附加到最终镜像,允许您检查镜像以查看其来源、创建者和内容。此信息可帮助您做出有关镜像安全性和对供应链影响的明智决策。

Docker Scout 使用这些代码签署来评估镜像的安全性和供应链态势,并为问题提供修复建议。如果检测到问题(例如缺少或过时的代码签署),Docker Scout 可以指导您如何添加或更新它们,从而确保合规性并提高对镜像安全状态的可见性。

有两种主要的代码签署类型

  • SBOM,列出镜像中的软件工件。
  • 来源,详细说明镜像的构建方式。

您可以使用带有--provenance--sbom 标志的docker buildx build 命令来创建代码签署。代码签署附加到镜像索引,允许您在不拉取整个镜像的情况下检查它们。Docker Scout 利用此元数据为您提供更精确的建议,并更好地控制镜像的安全。

修复 »