软件供应链最小基线:SBOM + cosign 镜像签名 2026-04-26 #supply-chain #sbom #cyclonedx #cosign #sigstore #slsa #spring-boot #k8s #java25 #security 以问答方式拆解软件供应链最小基线:用 CycloneDX 生成 SBOM、用 cosign keyless 签名容器镜像、把 SBOM 作为 cosign attestation 绑定到镜像。覆盖为什么、具体怎么做、以及绕不开的 tradeoff。 [Read more]