chainguard-images/images

# Chainguard 镜像 此仓库包含可用的 [Chainguard Images](https://images.chainguard.dev) 的公共构建配置——这些发布到 `cgr.dev/chainguard/` 的最小化、加固的 OCI 镜像。 ## 使用镜像 镜像发布在 `cgr.dev/chainguard/`。例如： ``` docker pull cgr.dev/chainguard/static:latest docker pull cgr.dev/chainguard/nginx:latest ``` 在 [images.chainguard.dev](https://images.chainguard.dev) 浏览完整目录。每个镜像的使用说明位于其自身 `images//README.md` 的 README 中，详见 [`images//README.md`](./images)。 ## 镜像构建方式 每个镜像都由 [`apko`](https://github.com/chainguard-dev/apko) 根据存储在镜像旁边的固定、可复现的配置生成： ``` images// ├── locked_config.json # Pinned apko config per architecture (+ tags, repo) ├── README.md # User-facing documentation for the image ├── tests/ # End-to-end tests └── metadata.yaml # Image metadata ``` `locked_config.json` 是发布镜像内容的唯一真实来源。它包含一个完全解析的 apko 配置——包括每个支持架构的精确包版本、账户、入口点、环境和注解。由于包版本固定，构建是可复现的：相同的 `locked_config.json` 产生相同的镜像内容。 发布由 [`release.yaml`](./.github/workflows/release.yaml) 工作流程驱动。当 `main` 分支（或按每日计划）上的 `locked_config.json` 发生变化时，工作流程会将受影响的镜像分片，并调用位于 [`main.tf`](./main.tf) 的 Terraform 模块，该模块： 1. 读取 `images//locked_config.json`。 2. 使用 apko Terraform 构建每个变体。 3. 将生成的 OCI 镜像发布到 `cgr.dev/chainguard/`，同时发布 SBOM 和 [cosign](https://github.com/sigstore/cosign) 证明。 4. 应用锁定文件中声明的 `tags`。 ## 本地构建镜像 您可以使用 `apko` 和此仓库中检入的 `locked_config.json` 在本地重现构建。请参阅 [`BUILDING.md`](./BUILDING.md) 获取分步示例。 ## 仓库布局 | 路径 | 用途 | | --- | --- | | `images//` | 每个镜像的构建配置、测试和 README | | `tflib/` | 发布驱动使用的共享 Terraform 模块 | | `.github/workflows/release.yaml` | 运行发布的工作流程 | ## 更多 - [镜像规范](./BEST_PRACTICES.md) —— 每个镜像遵循的设计标准。 - [镜像退役](./WITHDRAWING_IMAGES.md) —— 标签和仓库的退役方式。 - [安全策略](./SECURITY.md) —— 报告漏洞。 - [Chainguard Images 文档](https://edu.chainguard.dev/chainguard/chainguard-images/) —— 背景与概念。 - [Chainguard Console](https://console.chainguard.dev) —— 登录以查看完整商业目录。

标签：apko, cosign, Docker, ECS, GitHub Actions, GitHub Advanced Security, Google Gemini, Hakrawler, Nginx镜像, OCI镜像, SBOM, sigstore, Terraform, Web截图, 可重现构建, 安全加固, 安全防御评估, 容器安全, 容器镜像, 最小化镜像, 硬件无关, 自动笔记, 请求拦截, 软件供应链安全, 远程方法调用, 锁定配置, 镜像构建, 静态镜像