最近使用Docker下载官方容器镜像的时候,我发现这样一句话: ubuntu:14.04: The image you are pulling has been verified (您所拉取的镜像已经经过验证) 起初我以为这条信息引自Docker大力推广的镜像签名系统,因此也就没有继续跟进。后来,研究加密摘要系统的时候Docker用这套系统来对镜像进行安全加固我才有机会更深入的发现,逻辑上整个与镜像安全相关的部分具有一系列系统性问题。 Docker所报告的,一个已下载的镜像经过验证,它基于的仅仅是一个标记清单(signed manifest),而Docker却从未据此清单对镜像的校验和进行验证。一
2015-01-19 15:36 titanous, tinyeyeser
KDE开发者Jeff Mitchell在博客中记录了2013年KDE最大灾难:2013 年3月22日,root git服务器(git.kde.org)因安全原因下线,在应用了安全更新之后服务器重新上线,然而当git.kde.org虚拟机重新启动后,虚拟机检 ...
2013-03-26 10:01
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。