供应链安全测试：SBOM、镜像扫描和依赖升级

2025年5月记录，分类「安全测试」。这篇更像工作笔记，记录的是一次问题拆解和复用清单。

检查范围

供应链安全不是扫描一下就结束。测试侧要关注依赖来源、漏洞等级、是否可利用、升级后兼容性。

整理时我特意把输入、动作、观察点和风险拆开，方便后面补用例。

工具输出

• 生成 SBOM，明确应用依赖和镜像层。
• 扫描高危漏洞并确认运行时是否受影响。
• 依赖升级后跑接口、启动和核心业务回归。

syft packages docker:app:latest -o cyclonedx-json > sbom.json
grype sbom:sbom.json

风险判断

• 高危漏洞有处理结论。
• 镜像基础版本可追踪。
• 升级没有引入兼容性问题。

我一般会把这部分同步到缺陷模板里，让开发能直接看到复现材料和判断依据。

闭环

供应链安全要把扫描结果转成可执行的修复和回归任务。等业务规则再稳定一点，可以把这里的检查点拆成参数化用例。