强化和提高容器安全性

与经典操作系统映像相比，极简基础映像的大小要小得多。这些映像去除了不必要的软件包和库，可以最大程度地减少总体占用空间，从而缩短下载时间并降低存储要求。

极简基础映像旨在提供运行容器化应用程序所需的基本功能。极简基础映像通常包含：

极简基础映像最大程度地减少了安装的软件包和依赖项数量，可以减少容器环境中的攻击面和潜在漏洞。这样就可以通过限制恶意行动者利用系统的途径来增强安全性。

极简基础映像可让开发人员更灵活地自定义和优化其容器化应用程序。由于这些映像仅包含基本的必备组件，开发人员可以更好地控制要包含哪些附加组件和依赖项，从而根据具体的应用程序要求定制容器环境。

数字签名是一种加密机制，用于验证数字内容（例如容器映像）的真实性和完整性。它涉及到生成映像内容的唯一哈希或校验和，并使用私用密钥对其进行加密以生成签名。可以使用相应的公共密钥解密此签名以校验内容真实性。

映像签名依赖于非对称加密，这涉及到使用一对加密密钥：私用密钥和公共密钥。私用密钥用于生成签名，而公共密钥用于校验签名。私用密钥将予保密并安全存储，而公共密钥可以自由分发。

映像签名会建立信任模型，其中，映像签名方被隐式信任以保证其真实性。组织通常会维护自己的私用密钥用于映像签名，而用户将信任由该组织的密钥签名的映像。映像使用方可以使用相应公共密钥来校验签名，以确保映像不会泄密或由恶意行动者篡改。

映像签名通常与容器映像注册表（例如 Docker Hub，或 Harbor 等专用注册表）集成。注册表可为映像签名提供内置支持，允许用户直接在注册表平台内对映像进行签名和校验。已签名的映像通常用元数据标记，指明其签名状态和签名方的身份。

在部署容器映像之前，映像使用方（例如容器运行时或编排平台）会使用签名方的公共密钥来校验映像签名。如果签名有效且与映像内容匹配，则认为映像真实可信，可以安全部署。如果签名无法校验或与映像内容不匹配，则会拒绝该映像，以防出现潜在安全风险。