最近使用Docker下载官方容器镜像的时候,我发现这样一句话: ubuntu:14.04: The image you are pulling has been verified (您所拉取的镜像已经经过验证) 起初我以为这条信息引自Docker大力推广的镜像签名系统,因此也就没有继续跟进。后来,研究加密摘要系统的时候Docker用这套系统来对镜像进行安全加固我才有机会更深入的发现,逻辑上整个与镜像安全相关的部分具有一系列系统性问题。 Docker所报告的,一个已下载的镜像经过验证,它基于的仅仅是一个标记清单(signed manifest),而Docker却从未据此清单对镜像的校验和进行验证。一
2015-01-19 15:36 titanous, tinyeyeser
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: