Add security note

2026-03-11 20:31:18 +00:00 · 2026-02-28 14:28:38 -08:00
parent 70cab9e92d
commit 0ff67cc893
16 changed files with 115 additions and 23 deletions
--- a/10_buildx/10.2_buildx.md
+++ b/10_buildx/10.2_buildx.md
@@ -38,6 +38,15 @@ $ docker buildx build --sbom=true -t myimage .

 该命令会在构建结果中包含 SPDX 或 CycloneDX 格式的 SBOM 数据。

+> **⚠️ 注意与失败模式**：
+> 要使 SBOM (或其它 attestation 元数据) 成功附着并可见，对底层的存储格式有前置要求：默认的 classic image store 不支持 manifest list/index 这种存放 attestation 的结构。
+> 
+> 如果只简单运行上述命令，你可能会面临**“命令成功执行，但本地镜像中看不到 SBOM”**的体会落差。
+> 
+> **正确的解决路径有两条**：
+> 1. 在 Docker 守护进程中启用 `containerd image store` 特性（现代 Docker Desktop 默认推荐）。
+> 2. 或者使用 `docker-container` driver 的构建器，并直接**加上 `--push` 参数**将产物推送到远端支持 OCI 的镜像仓库，仓库会正确保存这些元数据。
+
 ### 10.2.2 官方文档

 * https://docs.docker.com/engine/reference/commandline/buildx/