SBOM

这是 The Change Log 播客对话 Docker 工程高级副总裁 Tushar Jana，探讨 Docker 硬化镜像免费开放的幕后故事。2025 年供应链攻击造成高达 600 亿美元损失，Docker 通过提供安全基础镜像来应对这一挑战。硬化镜像采用最小化软件包、主动打补丁的策略，并配备 SBOM 和 SLSA 三级构建管道。目前已向所有开发者免费开放 1000 多个硬化镜像和 Helm Chart，企业版则保留 SLA 与合规性支持的付费层级。节目中还解释了 VEX 机制用于标注已知但不重要的 CVE，强调以透明方式建立信任，而非像某些厂商隐藏问题。展望 AI 代理时代，Tushar 透露 Docker 将构建安全的运行时环境，让不受信任的工作负载在微 VM 中运行，并提供 MCP 服务器的安全加固版本。