签名治理（2025）

Cloud Native Buildpacks 构建与 SBOM/签名治理（2025）一、构建与产物Buildpacks：通过检测/构建/发布阶段自动化生成 `OCI` 镜像（Buildpacks）。层与缓存：复用层缓存，提升增量构建性能；控制层大小与顺序。二、SBOM 与签名SBOM：在构建阶段生成组件清单与许可证信息（SBOM）。签名：对镜像进行签名与验签；在部署端强制已签名镜像（签名）。三、供应链治理源证明：记录来源与构建环境（供应链）；满足审计与合规。门禁：在 CI/CD 上设置发布门禁与审批，防止不合规产物进入生产。四、性能与回滚性能：观察层缓存命中与构建耗时；优化依赖与缓存策略。回滚：异常时回滚到上一个可信产物；记录差异与原因。注意事项关键词（Buildpacks、SBOM、供应链、签名、OCI）与正文一致。分类为“DevOps/构建/Buildpacks”，不超过三级。参数与策略需在CI流水线与生产基线验证。