供应链攻击

这是 The Change Log 播客对话 Docker 工程高级副总裁 Tushar Jana，探讨 Docker 硬化镜像免费开放的幕后故事。2025 年供应链攻击造成高达 600 亿美元损失，Docker 通过提供安全基础镜像来应对这一挑战。硬化镜像采用最小化软件包、主动打补丁的策略，并配备 SBOM 和 SLSA 三级构建管道。目前已向所有开发者免费开放 1000 多个硬化镜像和 Helm Chart，企业版则保留 SLA 与合规性支持的付费层级。节目中还解释了 VEX 机制用于标注已知但不重要的 CVE，强调以透明方式建立信任，而非像某些厂商隐藏问题。展望 AI 代理时代，Tushar 透露 Docker 将构建安全的运行时环境，让不受信任的工作负载在微 VM 中运行，并提供 MCP 服务器的安全加固版本。

本周 Changelog News 报道了多个科技热点。Jason Willems 指出移动设备时代终结了技术多样性，2025 年人们购买的新设备数量超过过去五年总和，技术单一文化正在被打破。Notepad++ 遭遇供应链攻击，攻击者能拦截并重定向更新流量。此外，TailScale 的宕机道歉信被盛赞为业界典范，他们承诺将公开透明地追踪每一次小规模宕机。节目还讨论了 AI 开发中的认知极限——每日深度编码时间仅 3-4 小时，以及 AI 代码审查可能导致“理解债务”的风险。