我们有一个私有 Docker Registry (Nexus) 用于我们的内部 Docker 映像 https://company-docker-repo:8081。这些镜像永远不会发布到 Docker Hub,它们仅供内部使用。
我们的图片遵循以下命名约定:
company-docker-repo:8081/company/<repository>:<tag>。
恶意人员可以将新的(受损的)docker 映像 company/<repository>:latest 上传到 docker hub,而拉取 company/<repository>:latest 而不是 company-docker-repo:8081/company/<repository>:<tag> 的开发人员现在会得到错误的映像。
我能做些什么来防止它?
<repository> 部分名称可供使用,例如。可能是“private/”或“internal/”前缀?