[[ Rpm ]]

…问： - 这里重点好像是 SBOM 和 cosign 配合？ cosign 和SBOM 解决的是什么问题？ - 为什么 chainguard.dev 没有采用 RPM 或者 DEB 呢？ --- 生活 [Austria: A Fearful Country In Need Of A Vision | Armin Ronacher's Th…

…]] 的推广文章，主要介绍了目前非主流的集中构建image工具，apko 所有的文件来源均是 apk ，这样可以保证文件是可追溯的，类似于Linux 发行版中所有的文件均来自于RPM或 dpkg。同时chainguard.dev 提供了melange 用于帮助用户快速的将自己的项目构建apk，至少理论上可以极大的降低用户成本。 --- [Ku…