拉取策略供应链治理（2025）

SLSA/SBOM 与镜像签名/拉取策略供应链治理（2025）一、标准与产物SLSA：定义构建级别与来源证明；保证产物可信。SBOM：生成组件清单与许可证；用于审计与漏洞扫描（SBOM）。二、签名与验证镜像签名：使用 `Cosign` 对镜像进行签名与验签（镜像签名）。拉取策略：在集群/仓库设置仅允许已签名镜像拉取（拉取策略）。三、CI/CD 集成集成：在流水线生成 SBOM 与签名；发布门禁与审批。回滚：异常时阻断发布并回退到可信版本。四、观测与合规指标：签名覆盖率、漏洞修复率、合规审计结果。合规：满足法规与行业最佳实践；最小权限与密钥治理。注意事项关键词（SLSA、SBOM、Cosign、镜像签名、拉取策略）与正文一致。分类为“DevOps/安全/供应链”，不超过三级。策略需在安全评审与演练中验证。