如何给 Docker 镜像进行安全签名

幸运的是，Docker 通过一种称为 Docker 内容信任的功能来实现信任机制。

在网络系统之间传输数据时，信任是一个核心问题。特别是，当通过不受信任的互联网网络进行通信时，确保系统操作的所有数据的完整性和可信任的发布者，是至关重要的。

1. 信任机制

介绍 DCT 到底是什么，其作用是为了干什么！

Docker Content Trust(DCT)提供了对从远程 Docker 仓库上传和下载的镜像文件，使用数字签名的能力，其能够保证镜像文件的完整性和发布者的可信性。DCT 通过 Docker 标签对镜像文件是否进行签名进行区分，镜像发布者可以自行决定在哪些标签上进行签名。

DCT 实现的是客户端的签名和验证，意味着由 Docker 客户端执行它们。显然，类似这样的密码机制，对于确保在互联网上拉取和推送的软件的可信性是非常重要的，其在整个技术栈的各个层次，以及软件交付流水线的各个环节都在发挥越来越重要的作用。

在Docker中进行镜像签名

2. 镜像签名

介绍对镜像文件进行签名，秘钥使用流程和关系！

镜像标签的信任是，通过使用签名密钥来管理的。第一次使用 DCT 来操作时，将创建密钥集，由以下类密钥组成：

根密钥 - root key