https://socake.github.io/tags/%E4%BE%9B%E5%BA%94%E9%93%BE%E5%AE%89%E5%85%A8/Recent content in 供应链安全 on 黄文卓 | DevOps EngineerHugo -- gohugo.iozh-CN17691281867@163.com (Wenzhuo Huang)17691281867@163.com (Wenzhuo Huang)© 2026 Wenzhuo HuangWed, 18 Mar 2026 10:00:00 +0800https://socake.github.io/posts/container-image-build-optimization/Wed, 18 Mar 2026 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/container-image-build-optimization/深入剖析容器镜像构建优化的每个环节：BuildKit 并行构建与 Secrets 注入、Go/Python/Node.js 多阶段 Dockerfile 模板、–mount=type=cache 与远程缓存、Distroless vs Alpine 选型、dive 分析层内容，以及完整的供应链安全闭环（syft SBOM + Cosign 签名 + K8s 准入控制验签）。https://socake.github.io/posts/renovate-bot-dependency-upgrade/Thu, 19 Feb 2026 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/renovate-bot-dependency-upgrade/Dependabot 足够简单但能力单薄，Snyk 聚焦安全漏洞。Renovate 是介于两者之间的中庸选择：能升级一切、能分组、能调度、能自动合并、能 self-host。本文是完整的生产配置指南。https://socake.github.io/posts/tekton-pipelines-production/Thu, 15 Jan 2026 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/tekton-pipelines-production/Jenkins 扛不动 K8s Native 的调度压力，GitLab Runner 又太 monolithic。Tekton 把 ‘CI job’ 拆成 Task + Pipeline + PipelineRun 三层 CRD，所有执行都是 Pod，天然贴合 K8s。本文讲清楚它在企业里该怎么用——以及怎么避免把它用成 YAML 地狱。https://socake.github.io/posts/supply-chain-slsa-framework/Fri, 05 Dec 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/supply-chain-slsa-framework/一份 SLSA v1.0 框架的实战落地笔记：讲清楚 Build Track 从 L1 到 L3 的具体要求、用 GitHub Actions 官方 generator 和 Tekton Chains 生成 provenance、用 slsa-verifier 和 Kyverno 做验证、以及和前面 Sigstore/Kyverno/Cosign 的整合。https://socake.github.io/posts/sbom-dependency-track/Fri, 24 Oct 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/sbom-dependency-track/一份基于生产环境的 SBOM 实战指南：讲清楚 CycloneDX 与 SPDX 的格式差异、Syft/cdxgen/Trivy 三款主流生成器的对比，部署 Dependency-Track 4.12 做持续漏洞监测，通过策略违规自动化处置 CVE，并分享 SBOM 消费链路上的真实踩坑。https://socake.github.io/posts/sigstore-cosign-signing-workflow/Fri, 17 Oct 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/sigstore-cosign-signing-workflow/一份 Sigstore 生产化落地笔记：讲清楚 Fulcio/Rekor/Cosign 三件套的工作原理，演示 GitHub Actions 和 GitLab CI 下的 keyless 签名流水线，对接 Kyverno/Policy Controller 做准入验证，并分享签名验证性能、Rekor 不可用降级、多签策略等真实运维经验。https://socake.github.io/posts/devsecops-practice/Wed, 20 Aug 2025 10:30:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/devsecops-practice/安全不是最后一道关卡，而是嵌入每个研发环节的连续过程。本文从代码静态分析、依赖漏洞扫描、镜像安全、K8s 运行时防护到供应链签名，逐层拆解 DevSecOps 的完整实施路径，并给出一个可落地的流水线设计。