.NET Docker 镜像中Ubuntu Chiseled镜像的清单增强

在容器化技术领域，安全扫描一直是保障应用安全的重要环节。对于基于Ubuntu Chiseled的.NET Docker镜像，近期完成了一项重要的安全增强工作——为.NET 10及更高版本的镜像添加了Chisel清单支持。

技术背景

Chisel清单是专门为Ubuntu Chiseled镜像设计的一种新型清单格式，它将成为未来扫描Chiseled镜像中安全问题的的主要方式。与传统的dpkg缓存文件相比，Chisel清单能提供更精确和高效的扫描能力。

技术演进

目前，项目团队仍在使用chisel-wrapper工具来生成dpkg缓存文件，这是因为Chisel清单尚未被大多数扫描工具广泛支持。考虑到向后兼容性和工具生态的成熟度，这一过渡方案是必要的。

实施策略

团队采取了渐进式的实施策略：

1. 仅在新版本（.NET 10+）的镜像中添加Chisel清单
2. 保持现有镜像中的dpkg缓存文件不变
3. 确保不影响现有扫描工具的工作流程

这种策略既保证了新版本镜像的前瞻性，又维护了现有用户的使用体验。

技术意义

这一改进为.NET容器生态带来了多重好处：

1. 为未来的安全扫描工具提供了更好的支持基础
2. 保持了与现有工具链的兼容性
3. 为更精确的扫描铺平了道路
4. 体现了.NET团队对容器安全的持续关注

未来展望

随着容器安全扫描工具的演进，Chisel清单有望成为标准化的扫描接口。.NET团队将持续关注这一领域的发展，并在适当时机进一步优化镜像的安全特性。对于更早版本的.NET镜像，如有需要也会考虑通过单独的改进计划来支持。