Docker image在运行时没有签名者;docker trust inspect“;
我正在尝试确定我应该使用DockerHub上的哪个alpine图像版本 我在DockerHub上看到alpine的最新标签(截至2021年4月23日)是3.13.5,因此我运行了以下命令:Docker image在运行时没有签名者;docker trust inspect“;,docker,containers,dockerhub,Docker,Containers,Dockerhub,我正在尝试确定我应该使用DockerHub上的哪个alpine图像版本 我在DockerHub上看到alpine的最新标签(截至2021年4月23日)是3.13.5,因此我运行了以下命令: $ docker trust inspect --pretty alpine:3.13.5 No signatures for alpine:3.13.5 我检查了一个旧版本的alpine,得到了以下信息: $ docker trust inspect --pretty alpine:3.12.1 Si
$ docker trust inspect --pretty alpine:3.13.5
No signatures for alpine:3.13.5
我检查了一个旧版本的alpine,得到了以下信息:
$ docker trust inspect --pretty alpine:3.12.1
Signatures for alpine:3.12.1
SIGNED TAG DIGEST SIGNERS
3.12.1 c0e9560cda118f9ec63ddefb4a173a2b2a0347082d7dff7dc14272e7841a5b5a (Repo Admin)
这是否意味着我不应该信任alpine:3.13.5,因为没有签名人?非常感谢 图像签名已经开始,所以我怀疑这只是Docker公司的一个问题(我正在打电话给我的一些联系人,但是周末已经开始了,所以在他们回复之前可能需要一点时间)
公证人版本1没有太多的理解,这就是为什么这可以持续这么长时间,很少有人注意到它不起作用。我们正在积极地开发一个新的版本,希望它能解决很多限制版本1采用的问题,但这需要一段时间,直到版本2正式发布,我们才能逐步淘汰版本1
在此之前,我怀疑最新的alpine映像是安全的,为了进一步保证安全,通过漏洞扫描程序运行映像将是将风险降至最低的有用方法。尤其是由于漏洞扫描程序将指示旧版本图像中仍将被签名的已知漏洞