对于镜像安全，如有新增的供应链漏洞，具体有何种手段可以发现镜像中的漏洞并防护？

单讨论技术维度，对于供应链安全，通常建议引入软件成分分析（SCA）工具进行相应的治理。
1）开发阶段，对软件工程的代码和依赖包进行扫描，分析引入的风险；
2）构建阶段，采用黄金镜像（没有漏洞或者只有极少低危漏洞）作为镜像构建的base image；
然后基于分析结果，在上线前清理尽可能多的漏洞，从而降低供应链风险。

但是漏洞是一直在层出不穷的，上线后的镜像被爆出新的漏洞并非是少数场景，反而是一个高概率事件。
当有新增供应链漏洞时，运维和运营团队需要评估漏洞的影响范围，然后确定处理措施。
1）SCA软件更新漏洞库，确定漏洞影响的镜像列表，从镜像的角度则是更新漏洞列表；
2）通过容器云管理软件或者容器安全管理软件，关联镜像对应的容器实例，从而确定漏洞影响的容器、节点、项目、集群；
3）基于不可变基础设施的理念，容器的漏洞应在镜像上修复。
a. 如果能在短时间内修复镜像漏洞，则在对镜像的漏洞进行修复后重新上线，更新版本。所谓的修复过程，通常是指对存在漏洞的组件版本进行升级替换。
b. 如果短时间内无法修复镜像漏洞，则宜通过更新检测规则对漏洞利用的攻击进行监控；

上述解决方案，需要两个前提条件，一个开发过程已经部署了SCA工具，但大部分SCA工具通常只关注到上线前。所以另一个条件是需要将SCA的扫描结果与生产环境运行状态的资产信息库进行比对，从而更完整地评估新增漏洞对生产环境的影响。

然而，实际运营过程中，我们发现并非所有镜像是自行研发构建，也有可能是采购第三方软件的镜像进行生产部署。这样的场景下，我们无法通过SCA软件来对镜像进行深层次的分析。未来我们可能通过推广SBOM机制来强制要求所有软件厂商提供其组件清单，但仍需等待相关规范的确定。目前来说，只能依赖镜像扫描功能做到尽可能细的但不完备的成分分析。