对我来说,将docker投入生产使用的要求之一就是能够验证我们用作基本图像的任何图像实际上是官方的“ubuntu”或“busyBox”图像.我没有看到任何明显的证据表明公共存储库上的图像已经加密签名,因此可以验证它们没有被篡改.我错过了什么吗?
(作为一种替代方案,我想我们可以在我们自己的私人注册表中从头开始使用我们自己的基础图像,但即便如此,我还是要做一些检查,我们不会意外地从公众中提取任何内容.回购).
最佳答案
Docker确实做了“数字签名验证”as of release 1.3,尽管它还处于非常早期阶段.此验证可确保您下载的任何官方图片在传输过程中未被篡改.在撰写本文时,一些官方图像需要做更多工作,以确保在映像构建过程中下载的文件与存储的哈希值进行正确检查.
您可能还想看看这个post on container provenance.