#docker #containers #podman #notary
Вопрос:
У кого-нибудь есть хорошее решение для проверки подписи универсального контейнера? Из того, что я видел (пожалуйста, исправьте любые ошибки)
- Docker Hub использует подписи на основе «Нотариуса», для чего нужен docker
- RedHat используют свой собственный механизм подписи, для чего нужен подман
Поскольку я не могу установить как podman, так и docker (containerd.io и у runc есть конфликт в RHEL, может быть, другой хост разрешит это?) похоже, нет способа проверить подписи, которые работают для обоих источников.
Даже если бы я мог установить их оба, мне нужно было бы проанализировать файл dockerfile, определить, где находится исходный образ, выполнить загрузку изображений docker/podman, а затем выполнить сборку, если не произойдет сбоя. (Который, скорее всего, потерпит неудачу!)
Например : этап сборки использовал контейнер из docker hub (например, maven) и этап запуска из redhat (например registry.access.redhat.com/ubi8).
Мне действительно нужна универсальная функция «проверка подписи контейнера по этому URL-адресу», которую я могу добавить в инструмент CICD. Некоторым командам нравится использовать реестр RH, какой-то концентратор докеров, некоторые смешивают и сочетают.
Есть хорошие идеи? Очевидные решения, которые я пропустил?