Für mich ist eine der Anforderungen, um docker in production use zu versetzen, die Möglichkeit, zu überprüfen, ob es sich bei den Bildern, die wir als Basisbilder verwenden, um die offiziellen "ubuntu" - oder "busybox" -Bilder handelt. Ich sehe keinen offensichtlichen Beweis dafür, dass Bilder im öffentlichen Repository kryptografisch signiert sind, sodass verifiziert werden kann, dass sie nicht manipuliert wurden. Fehle ich etwas?
(Als Alternative wäre es möglich, mit unseren eigenen Basisbildern in unserem eigenen privaten Register von vorne anzufangen, aber selbst dann würde ich ein paar Überprüfungen anstellen wollen, dass wir nicht versehentlich irgendwas ziehen aus dem öffentlichen Repo.)
Docker tut "Überprüfung der digitalen Signatur" ab Release 1.3 , obwohl es sich noch in einem sehr frühen Stadium befindet. Diese Überprüfung stellt sicher, dass jedes offizielle Bild, das Sie herunterladen, während der Übertragung nicht manipuliert wurde. Zum Zeitpunkt des Schreibens müssen einige offizielle Bilder mehr Arbeit leisten, um sicherzustellen, dass Dateien, die während des Build-Prozesses heruntergeladen werden, ordnungsgemäß gegen gespeicherte Hashes geprüft werden.
Sie können sich auch diesen Post auf Container Provenance ansehen.
>Gegenwärtig wird anscheinend keine nützliche Validierung durchgeführt.
Wie Adrian Mouat sagt, docker 1.3 hat" etwas "hinzugefügt, um mit der Verifizierung des Bildes zu tun.
Allerdings zeigen die Ergebnisse in diesem Post , dass derzeit nur das Manifest und nicht das Bild selbst verifiziert wird. Das heißt, das Manifest wird signiert und überprüft, aber die Prüfsumme, die es für das Bild enthält, scheint nicht korrekt verwendet zu werden, um zu überprüfen, ob das Bild selbst manipuliert wurde. Es ist besorgniserregend, dass die offensichtlich gebrochene Prüfsummenüberprüfung zu einer Veröffentlichung überging.
Dieser Artikel beschreibt, wie Sie Ihre eigenen Bilder erstellen. Ich stimme zu, dass Docker zu neu ist, um volles Vertrauen zu verdienen.
Tags und Links docker