如何验证docker基础镜像的真实性？

Question

我们如何确保docker基础镜像，例如ubuntu:latest没有损坏？那是如何检查docker基础镜像的真实性？？

Answer 1

校验和验证

docker pull使用校验和验证其每一层的下载。它将检测损坏的下载。

$ docker pull ubuntu:latest 
latest: Pulling from library/ubuntu
1be7f2b886e8: Downloading [=====>                                             ]  4.865MB/42.86MB
6fbc4a21b806: Download complete 
c71a6f8e1378: Download complete 
4be3072e5a37: Verifying Checksum  <<-- It verifies Checksum 
06c6d2f59700: Download complete

因此，您不需要检查您的拉取镜像在哪里损坏

Docker中的内容信任

内容信任提供了对发送到远程Docker注册表和从远程Docker注册表接收的数据使用数字签名的能力。这些签名允许客户端验证特定图像标签的完整性和发布者。

开启内容信任后，推送后在客户端签名，拉取后客户端验证

$ export DOCKER_CONTENT_TRUST=1; docker pull ubuntu:latest

Pull (1 of 1): ubuntu:latest@sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696
sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696: Pulling from library/ubuntu
Digest: sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696
Status: Image is up to date for ubuntu@sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696
Tagging ubuntu@sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696 as ubuntu:latest

阅读有关content_trust的更多信息

Answer 2

启用docker内容信任，然后它只从Docker注册表中提取受信任的映像。也就是说，只有签名的图像才会从注册表中拉出。在启用它之前，Docker还会拉出不受信任的镜像。

export DOCKER_CONTENT_TRUST=1

在Docker hub中，还要检查您想要拉取的图像的Docker安全扫描结果，并使用扫描结果中没有任何安全漏洞的图像。下面的链接将提供有关它的更多信息。https://docs.docker.com/docker-hub/official_repos/#should-i-use-official-repositories

Answer 3

您可以在Docker Hub和docker search命令中查看官方镜像

docker@default:~$ docker search ubuntu
NAME                                                   DESCRIPTION                                     STARS               OFFICIAL            AUTOMATED
ubuntu                                                 Ubuntu is a Debian-based Linux operating s...   7175                [OK]

docker docs和docker github中的模式详细信息