CI/CD供应链安全：SBOM、Sigstore与SLSA落地

CI/CD供应链安全：SBOM、Sigstore与SLSA落地概览供应链安全的核心是可验证：组件来源、构建身份与交付路径均需可追溯。关键构件：SBOM（组件清单）、签名与透明日志、构建溯源（provenance）。技术参数（已验证）SBOM 格式：SPDX 与 CycloneDX；在构建阶段生成并随制品分发与存档。Sigstore：`cosign` 对容器镜像与制品签名；Keyless 模式基于 OIDC 身份与 Fulcio CA，透明日志由 Rekor 维护。溯源与证明：基于 in-toto 与 SLSA 生成构建证明（attestation），记录构建者、输入与步骤；用于策略验证与审计。策略验证：在部署/拉取阶段验证签名与溯源；阻断未签名或来源不可信的制品。漏洞治理：结合 SBOM 与漏洞源（如 OSV）进行准入扫描与告警；设定例外与修复窗口。实战清单在 CI 构建任务中生成 SBOM 与 attestation；对镜像与归档制品统一签名。在 CD 阶段启用准入校验与拉取验证；记录验证指标与失败原因。建立漏洞处置流程与例外台账；在看板上可视化风险与修复进度。