有没有人对通用容器签名验证有一个好的解决方案?从我所看到的(请纠正任何错误)
- Docker Hub 使用基于“Notary”的签名,需要 docker
- RedHat 使用自己的签名机制,即需要 podman
由于我无法同时安装 podman 和 docker(containerd.io 和 runc 在 RHEL 中存在冲突,也许不同的主机会允许它?)似乎没有办法验证适用于这两个来源的签名。
即使我可以同时安装它们,我也需要解析 dockerfile,找出源图像的位置,对图像执行 docker/podman pull,然后在没有 pull 失败的情况下进行构建。(感觉很可能会失败!)
例如:构建阶段使用来自 docker hub(例如 maven)的容器和来自 redhat(例如 registry.access.redhat.com/ubi8)的运行阶段。
我真的想要一个通用的“验证此 URL 上的容器签名”功能,我可以将其放入 CICD 工具中。一些团队喜欢使用 RH 注册表,一些 Docker Hub,一些混合搭配。
有什么好主意吗?我错过了明显的解决方案?