用于多平台图像发布的Docker公证客户端成功，但标记不受信任

2023-02-08 J.R. 原文

我一直在密切关注动作脚本中的步骤(https://github.com/sudo-bot/action-docker-sign/blob/main/action.yml)信任并签署多平台形象。唯一需要的修改是提取SHA256，其中我提取了清单推送命令返回的最后一个SHA256（动作脚本中的cut命令似乎没有返回有效的SHA256）；可能清单推送结果已更改。我还尝试了推送返回的不同SHA256值，结果相同。

这是一个脚本，使用Docker 23.0.0和Ubuntu上安装的sudo apt-get notary公证包。

脚本完成时没有错误，但最后没有图像标记签名。我错过了什么？您如何信任和签署多平台图像标签？

注意，buildx不帮助签署多平台映像；据我所知，它只是推送未签名的图像。

export DOCKER_CONTENT_TRUST=1

# build for platforms, authentication build args omitted; needs docker 23.0.0
docker build --platform=linux/amd64 --tag mydockerid/test-amd64:$(tag)$(tagSuffix) --file $(Folder)/Dockerfile .
docker build --platform=linux/arm64 --tag mydockerid/test-arm64:$(tag)$(tagSuffix) --file $(Folder)/Dockerfile .

export DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE='$(SignerKeyPassword)'
docker trust key load $(signerKey.secureFilePath)

export NOTARY_TARGETS_PASSPHRASE='$(TargetKeyPassword)'
export NOTARY_SNAPSHOT_PASSPHRASE='$(SnapshotKeyPassword)'

# Sign and push platform specific images - is it necessary to sign these?
docker trust sign mydockerid/test-amd64:$(tag)$(tagSuffix)
docker trust sign mydockerid/test-arm64:$(tag)$(tagSuffix)

# Create manifest list from platform manifests
docker manifest create mydockerid/test:$(tag)$(tagSuffix) mydockerid/test-amd64:$(tag)$(tagSuffix) mydockerid/test-arm64:$(tag)$(tagSuffix)

# orignal action command does not extract valid SHA
# SHA_256=$(docker manifest push mydockerid/test:$(tag)$(tagSuffix) --purge | cut -d ':' -f 2)

# Push manifest
MANIFEST=$(docker manifest push mydockerid/test:$(tag)$(tagSuffix) --purge)
# Extract last sha256 return by push command which is the only sha256 not corresponding to layers
echo "MANIFEST: ${MANIFEST}"
SHA_256=$(echo ${MANIFEST//*:})          
echo "SHA_256: $SHA_256"

MANIFEST_FROM_REG="$(docker manifest inspect "mydockerid/test:$(tag)$(tagSuffix)" -v)";
echo "MANIFEST_FROM_REG: $MANIFEST_FROM_REG"

# Determine byte size as per action script
BYTES_SIZE="$(printf "${MANIFEST_FROM_REG}" | jq -r '.[].Descriptor.size' | uniq)";
echo "BYTES_SIZE: $BYTES_SIZE"

REF="mydockerid/test"
TAG="$(tag)$(tagSuffix)"
AUTH_BASIC=$(SignerAuthBasic)
ROLE_CLI=""
# Check that keys are present
notary key list -d $(DOCKER_CONFIG)/trust/
# Encode user:pat as base 64
export NOTARY_AUTH="$(printf "${AUTH_BASIC}" | base64 -w0)";
TRUST_FOLDER="$(DOCKER_CONFIG)/trust/"
echo "TRUST_FOLDER: $TRUST_FOLDER"
# publish and sign
notary -d ${TRUST_FOLDER} -s "https://notary.docker.io" addhash "${REF}" "${TAG}" "${BYTES_SIZE}" --sha256 "${SHA_256}" ${ROLE_CLI} --publish --verbose
notary -s "https://notary.docker.io" list "${REF}";
unset NOTARY_AUTH;

脚本完成时没有错误。

notary ... --publish ...命令返回：

Addition of target "1.1.1234-beta" by sha256 hash to repository "***/test" staged for next publish.
Auto-publishing changes to ***/test
Successfully published changes for repository ***/test

最后一个notary ... list命令按预期列出图像标记：

NAME             DIGEST            SIZE (BYTES)    ROLE
----             ------            ------------    ----
1.0.1234-beta    91e75e43bd....    637             targets

但在检查信托时，没有签名：

docker trust inspect --pretty mydockerid/test

No signatures for mydockerid/test


List of signers and their keys for mydockerid/test

....

用于多平台图像发布的Docker公证客户端成功，但标记不受信任的更多相关文章

Swift 后端开发

作为一门新兴的现代化语言，Swift可以说是苹果在开发语言上的一次集大成之作，吸收了很多语言的优点。而且苹果还期望Swift能在服务端开发上能发挥作用。Perfect框架Perfect框架是Swift开发的Web应用服务器，它支持包括Redis、sqlite、Postgresql、MysqL、MongoDB、FileMaker这样的数据库，并且能以fastcgi或者Web服务器的形式提供服务。具体内容得到Swift源代码中可以找到。
Swift构建总是在Docker中构建整个包

使用像这样的Dockerfile时：当第3步运行时,swiftbuild将只编译应用程序一次,因为第二次执行将只使用已构建的对象,输出将是单个CompileSwiftModule’foo'然而,在运行第4步时,它似乎忽略了已经构建的任何东西,并重新重建整个事物,尽管没有任何改变且没有干净.我试过运行RUNls/foo/.build&&ls/tmp,一切似乎都到位了.我想要在现实中实现的是设置我的图像所以我首先从git克隆项目,构建它,然后copY在本地机器的任何变化中构建新的更新,但最终建立整个项目2次.
在Android上使用Docker

是否可以在Android上构建Docker应用程序？我注意到现在没有,但内核毕竟是基于Linux内核的.如果有办法在没有生根的情况下做到这一点,那就更好了！是否有可能为Android创建Docker应用程序？如果是这样,有没有人知道任何进展？
Docker 如何布置PHP开发环境

本文主要介绍了如何使用Docker构建PHP的开发环境，文中作者也探讨了构建基于Docker的开发环境应该使用单容器还是多容器，各有什么利弊。推荐PHP开发者阅读。
一篇文章教会你部署vue项目到docker

在前端开发中,部署项目是我们经常发生的事情,下面这篇文章主要给大家介绍了关于部署vue项目到docker的相关资料,文中通过示例代码介绍的非常详细,需要的朋友可以参考下
PHP 应用容器化以及部署方法

本文给大家分享的是如何把PHP应用容器化，以及使用docker在服务器上部署PHP应用，非常的简单实用，有需要的小伙伴可以参考下
在Docker快速部署Node.js应用的详细步骤

这篇文章的目标是为了向大家展示如何在Docker的container里运行Node.js程序，文中通过图文与示例代码介绍的非常详细，有需要的朋友们可以参考借鉴。
Docker搭建自己的PHP开发环境

本文给大家介绍的是如何在docker中搭建一个PHP的开发环境，将用 zPhal-dockerfiles 做为例子，有需要的小伙伴可以参考下
安装docker和docker-compose实例详解

在本篇文章里小编给大家分享的是关于安装docker和docker-compose的具体实例和代码，需要的朋友们可以学习下。
一步步教你利用Docker设置Node.js

这篇文章主要介绍了利用Docker设置Node.js的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧

随机推荐

如何扩展ATmega324PB微控制器的以下宏寄存器？

我目前正在学习嵌入式，我有以下练习：展开以下宏寄存器：如果有人解决了这个问题，我将不胜感激，以便将来参考
Python将ONNX运行时设置为返回张量而不是numpy数组

在python中，我正在加载预定义的模型：然后我加载一些数据并运行它：到目前为止，它仍在正常工作，但我希望它默认返回Tensor列表，而不是numpy数组。我对ONNX和PyTorch都是新手，我觉得这是我在这里缺少的基本内容。这将使转换中的一些开销相同。
在macOS上的终端中使用Shell查找文件中的单词

我有一个文本文件，其中有一行：我需要找到ID并将其提取到变量中。我想出了一个RexEx模式：但它似乎对我尝试过的任何东西都不起作用：grep、sed——不管怎样。我的一个尝试是：我为这样一个看似愚蠢的问题感到抱歉，但我在互联网上找不到任何东西：我在SO和SE上读了几十个类似的问题，并在谷歌上搜索了几个教程，但仍然无法找到答案。欢迎提供任何指导！
react-chartjs-2甜甜圈图中只有标题未更新

我正在使用react-chartjs-2在我的网站中实现甜甜圈图。下面是我用来呈现图表的代码。我将甜甜圈图的详细信息从父组件传递到子组件，所有道具都正确传递。当我在beforeDraw函数外部记录props.title时，它会记录正确的值，但当我在beforeDraw函数内部记录props.title时，它将记录标题的前一个值，从而呈现标题的前值。我在这里做错了什么？
如何在tkinter中使用Python生成器函数？

生成器函数承诺使某些代码更易于编写。但我并不总是知道如何使用它们。假设我有一个斐波那契生成器函数fib()，我想要一个显示第一个结果的tkinter应用程序。当我点击“下一步”按钮时，它会显示第二个数字，依此类推。我如何构建应用程序来实现这一点？我可能需要在线程中运行生成器。但如何将其连接回GUI？
如何为每次提交将存储库历史记录拆分为一行？

我正在尝试获取存储库的历史记录，但结果仅以单行文本的形式返回给我。
尝试在颤振项目上初始化Firebase时出错

当尝试在我的颤振项目上初始化firebase时，我收到了这个错误有人知道我能做什么吗？应用程序分级Gradle插件Gradle项目颤振相关性我已经将firebase设置为Google文档已经在另一个模拟器上尝试过，已经尝试过创建一个全新的模拟器，已经在不同的设备上尝试过了，已经尝试了特定版本的firebase，已经尝试添加但没有任何效果，已经在youtube上看到了关于它的每一个视频，该应用程序在android和iOS两个平台上都抛出了这个错误
在unix中基于当前日期添加新列

我试图在unix中基于时间戳列在最后一个单元格中添加一个状态列。我不确定如何继续。
麦克斯·蒙特利。我一直得到UncaughtReferenceError：当我在终端中写入node-v时，节点未定义

如果这是您应该知道的，请确认：我已将所有shell更改为默认为zsh。当我在终端中写入node-v时，我一直收到“UncaughtReferenceError:nodeisnotdefined”。但它显示节点已安装。我是个新手，在这方面经验不足。
如何在前端单击按钮时调用后端中的函数？

那么如何在后端添加一个新的端点，点击按钮调用这个函数。