Описание проблемы
После сборки и загрузки образа отображаются три артефакта:
SBOM-манифест, который ссылается на attestation-манифест и образ. SBOM-манифест представляет собой разновидность index-манифеста. У index-манифеста указан тег.
SLSA provenance-манифест, представляющий собой разновидность attestation-манифеста.
Docker-образ, у которого указана платформа.
При этом размер файла SBOM-манифеста отображается неверно. Указан размер, равный файлу Docker-образа, хотя файл SBOM-манифеста имеет другой размер. Статусы сканирования манифестов отображаются как «Без сканирования», а при просмотре подробной информации как «Ожидает сканирования».
Решение
Чтобы собрать Docker-образ в единый артефакт, используйте команду buildx и опции --sbom=false и --provenance=false:
docker buildx build --platform=linux/amd64 --push --sbom=false --provenance=false -t <registry_uri>/<repository_name>:<tag> .
Где:
<registry_uri> — URI реестра, сгенерированный на этапе создания реестра.
<repository_name> — название репозитория.
<tag> — тег, присвоенный образу.
После загрузки образа отображается один артефакт без манифестов
и . У образа корректно указаны тег и платформа. Сканирование артефакта завершено.Размер артефакта отображается корректно.