对我来说,将docker投入生产使用的要求之一就是能够验证我们用作基本图像的任何图像实际上是官方的“ubuntu”或“busybox”图像。我没有看到任何明显的证据表明公共存储库上的图像已经加密签名,因此可以验证它们没有被篡改。我错过了什么吗?
(作为替代方案,我想我们可以在我们自己的私人注册表中从头开始使用我们自己的基础图像,但即便如此,我还是要做一些检查,我们不会意外地拉出任何东西来自公共回购。)
答案 0 :(得分:2)
目前,显然没有进行有用的验证。
正如Adrian Mouat所说,docker 1.3在图像验证中添加了“某些东西”。
然而,this post中的发现表明目前只验证了清单而不是图像本身。也就是说,清单已签名并进行检查,但它为图像包含的校验和似乎没有被正确使用来检查图像本身是否未被篡改。令人担忧的是,明显破损的校验和验证一直在发布。
答案 1 :(得分:1)
Docker确实做了“数字签名验证”as of release 1.3,尽管它还处于早期阶段。此验证可确保您下载的任何官方图片在传输过程中未被篡改。在撰写本文时,一些官方图像需要做更多的工作,以确保在图像构建过程期间下载的文件与存储的哈希值进行正确检查。
您可能还想查看此post on container provenance。