对我来说,将docker投入生产使用的一个要求是能够验证我们用作基本图像的任何图像实际上是官方的"ubuntu"或"busybox"图像.我没有看到任何明显的证据表明公共存储库上的图像已经加密签名,因此可以验证它们没有被篡改.我错过了什么吗?
(作为一种替代方案,我想我们可以在我们自己的私人注册表中从头开始使用我们自己的基础图像,但即便如此,我还是要做一些检查,我们不会意外地从公众中提取任何内容.回购).
Docker从 1.3 版本开始确实进行了“数字签名验证” ,尽管它仍处于非常早期的阶段。此验证可确保您下载的任何官方映像在传输过程中没有被篡改。在撰写本文时,一些官方镜像需要做更多的工作来确保在镜像构建过程中下载的文件能够根据存储的哈希值进行正确检查。
您可能还想查看这篇关于容器起源的文章。
| 归档时间: |
|
| 查看次数: |
2327 次 |
| 最近记录: |