Цепочка поставок контейнеров: подписи, базовые образы и политика обновлений

Базовые образы

Фиксируйте digest, а не только тег. Регулярно пересобирайте с патчами ОС; отложенные обновления — главный источник известных CVE.

Подписи и provenance

SLSA-подобные практики: подписанный билд, воспроизводимые шаги, привязка к коммиту. Это усложняет pipeline, но упрощает расследования.

Политика в кластере

Admission controllers могут отклонять образы без скана или с критическими находками. Согласуйте исключения с владельцами сервисов письменно.

Итог

Без дисциплины обновлений сканеры дают ложное спокойствие. Автоматизируйте патчи для базовых слоёв.