问如何强制实施受信任的Docker基础镜像

EN

我已经看到了相当多关于Docker安全的帖子，特别是最近新闻中关于将您的Docker基础镜像限制为您信任的镜像的供应链攻击。

然而，除了某种Dockerfile解析之外，我发现很难找到关于如何真正做到这一点的信息。也许我们可以检查一个图像，发现其中一个层包含我们信任的基础图像的sha256。

那么在多阶段构建中呢？我们用来构建包的任何镜像也应该是可信的。

有没有人有任何建议、经验或工具来帮助确保只有已经批准的映像才能用作最终映像的基础映像，以及在多阶段构建中使用？基本上，任何" from“都应该来自我们可以批准的图像。