对于镜像签名要不要加白的思考

1.镜像签名是更强的安全校验,所以还是采取强校验方式,如果给了加白,那么其实对于公网来的仓库等其他攻击场景,就存在了凭证窃取等攻击场景了,也就没有起到签名的效果,本质上是仓库可控,才会开启该功能
2..对于镜像签名IfNotPresent或者Never,还是需要校验,才允许拉取,不然也会存在上述场景,会被绕过,虽然TAG替换攻击场景没有覆盖到,但是还是一种更加严格的校验方式,至少有签名才会运行该镜像

你可能感兴趣的:(运维,安全)