docker工确认图像? 如果是的话,它是如何实施的?
对我来说,将docker投入生产使用的要求之一就是能够validation我们用作基本映像的任何映像实际上是官方的“ubuntu”或“busybox”映像。 我没有看到任何明显的证据表明公共资源库中的图像是encryption签名的,因此可以证实它们没有被篡改。 我错过了什么吗?
(作为替代scheme,我想我们可以从我们自己的私人registry中从头开始,但是即使如此,我也想要做一些检查,以免我们不小心把公众回购)。
虽然Docker仍然处于非常早期的阶段,但Docker确实在1.3版本中进行了“数字签名validation”。 此validation可确保您下载的任何官方图片在传输过程中均未被篡改。 在撰写本文时,一些官方图像需要做更多的工作,以确保在映像构build过程中下载的文件能够正确地检查存储的散列。
你也可以看看这个容器出处的文章 。
目前,显然没有有用的validation完成。
正如Adrian Mouat所说, docker 1.3增加了一些与图像validation有关的东西。
然而, 这篇文章的研究结果表明,目前只有清单而不是形象本身得到证实。 也就是说,清单被签名和检查,但它包含的图像的校验和似乎没有被正确使用来检查图像本身没有被篡改。 令人担忧的是,校验和validation显然已经失效。
本文讨论如何创build自己的图像。 我同意Docker太新,不值得完全信任。