主要观点：在软件开发周期的设计阶段讨论了如何融入安全策略后，现在进入分发阶段，该阶段包含静态分析、镜像和清单扫描、签名三个步骤。
关键信息：

• 静态分析：已讨论过，可使用如 Trivy 或 Clair 等工具扫描容器镜像及其依赖的漏洞，严重漏洞需及时处理，减少基础镜像数量可降低漏洞数量。
• 镜像扫描：在云中运行和扩展服务需部署在容器中，容器由镜像创建，可能存在漏洞，如上述 Dockerfile 中的基础镜像及依赖可能有漏洞，可通过运行 trivy.exe image 进行扫描，输出显示有 1 个高严重和 28 个中严重漏洞。
• 清单扫描：随着 Kubernetes 工作负载的增加，配置在清单文件中，可运行 Trivy 扫描清单文件以识别如容器以 root 运行等漏洞，会显示漏洞标识符、描述及来源位置。
• artifact 签名：签名可作为组件真实性、完整性和信任的证明，如使用 Cosign 和 Notary 等工具验证镜像签名，cosign sign 用于用私钥签名，cosign verify 用于验证。
  重要细节：分发阶段的各个步骤对于确保部署或发布给客户的工件安全且能抵御常见网络安全和供应链攻击非常重要，扫描和签名是为客户提供安全基础设施的基本步骤。