6.2. 可重复生成的容器对不同环境的影响

Konflux

• 增强的软件供应链完整性：可重复生成的容器构建增强了 Konflux 提供安全、透明软件供应链的任务。Konflux 使用可重复生成的构建来验证构建是否完全从其源代码中派生出。任何第三方都可以从同一输入重建容器，并验证输出是否位相同。另外，RHEL 可重复生成的容器构建可防止 "in-transit" 漏洞，攻击者可以破坏发布镜像，或将恶意代码注入构建过程。Konflux 可以证明发布的二进制文件与其源相匹配，从而减轻对其自身构建基础架构的攻击。
• 更高的合规性和透明性：Konflux 强制执行 SLSA 安全策略。它验证可重复生成的 RHEL 镜像的来源和久经验证，简化了合规性。Konflux 使用 Tekton 链来创建不可变的，在测试时对整个构建过程进行了签名。RHEL 的可重复生成的容器通过确保基础镜像可靠且可验证构建，为此测试增加了一个基础的信任层。
• 开发和安全工作流：可重复生成的构建可确保跨多个运行的一致性容器镜像摘要，简化了测试和调试。Konflux 利用它有效地扫描和更新 RHEL 容器中存在安全漏洞的软件包。Konflux 使用验证的 attestations 来自动阻止不合规的构建并强制实施安全策略，而不会降低灵活性。

bootc

• 可验证供应链并提高安全性：可重复生成的 RHEL 容器构建通过为可引导 OS 镜像创建更安全、可靠和透明的构建过程来增强 rhel-bootc。您可以验证是否从声明的源代码构建了一个特定的 bootc 镜像，这有助于攻击者通过损害构建管道将恶意代码注入容器镜像。

• 简化的 CI/CD 和 GitOps 工作流：您可以使用可重复生成的功能来管理其整个操作系统配置和应用程序堆栈，使用基于 Git 的工作流(GitOps)。对 Containerfile 的更改保证了所有环境中一致的可引导镜像。可重复生成的构建形成自动化 CI/CD 管道的基石。

RHEL AI

• 可重复生成的容器构建对于 RHEL AI 至关重要，因为它们提供基础一致性、安全性和效率 AI 模型开发和部署需要。RHEL AI 提供可引导的容器镜像，这意味着它将操作系统本身作为容器工件进行管理。可重复性可确保此基础 AI 环境始终一致且可信。