ko-build/ko: Build and deploy Go applications on Kubernetes 是一个专注于为 Go 应用程序构建容器镜像的工具。

当初 ko 的出现是为了给 Knative 项目提供一个使用 Go 项目使用的轻量化构建工具，后来社区中为其逐步增加了很多功能。 现在 Knative 已经托管到了 CNCF ，ko 很自然的也应该成为社区项目。 目前它已经从原先 Google 的组织下移动到了一个独立的 ko-build 组织下。

使用 ko 可以像使用 go build 那样简单，并且无需 Docker 或者其他容器运行时。如果你的项目仅包含 Go 应用的话，选择使用 ko 也是个比较轻量化的选择。

此外，ko 可以用于构建多架构的镜像，以及生成 SBOM 。

接下来我以 apache/apisix-ingress-controller: APISIX Ingress Controller for Kubernetes 这个 Go 项目为例，进行构建：

通过加 -L 参数可以将镜像加载到本地的 Docker daemon 中。默认使用 distroless 的镜像作为基础镜像，构建出的镜像体积相对也较小。

同时还可以写一份 .ko.yaml 进行更加详细的配置。对此项目感兴趣的小伙伴可以去尝试下，唯一的限制就只是它仅仅是为 Go 项目使用的，并不够通用。

Trivy 我介绍过很多次了，这里就不再展开。Trivy 的这个版本主要增加了一些操作系统上的依赖图支持。比如：

如上所示，不仅可以显示对应存在漏洞的包，还可以查看其相关的依赖，非常方便用于检查系统漏洞。

这个 PR 中对一些特殊字符进行了转义。这其实是一个比较有意思的内容，我来稍微介绍一下。

你可以在自己的终端中尝试执行如下命令：