ko 实战:无 Dockerfile 构建 Go 容器镜像的正确姿势
·1639 字·8 分钟
同样是构建 Go 镜像,用 Dockerfile + BuildKit 要 2-3 分钟,用 ko 只需要 5-20 秒。差距来自 ko 不走 daemon、不写 tar、直接把 Go 编译产物塞进 OCI manifest。本文讲清楚这套 ‘Dockerfile-less’ 构建到底怎么落地到生产,以及什么时候不该用它。
Cosign
Sigstore/Cosign 镜像签名实战:从 keyless 签名到准入策略验证
·1658 字·8 分钟
一份 Sigstore 生产化落地笔记:讲清楚 Fulcio/Rekor/Cosign 三件套的工作原理,演示 GitHub Actions 和 GitLab CI 下的 keyless 签名流水线,对接 Kyverno/Policy Controller 做准入验证,并分享签名验证性能、Rekor 不可用降级、多签策略等真实运维经验。
供应链安全:Trivy 镜像扫描 + Cosign 签名验证实践
·727 字·4 分钟
你的镜像安全吗?本文梳理容器供应链的主要攻击面,手把手演示 Trivy 扫描、Cosign 签名、K8s 准入控制三层防护的搭建过程,并给出 GitLab CI 集成示例。