mongot パッケージの整合性を検証

MongoDB Community でのMongoDB Search とベクトル検索はプレビュー段階です。機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。詳しくは、プレビュー機能を参照してください。

MongoDB Search リリースチームは、特定の mongotパッケージが有効で、改変されていない mongot リリースであることを証明するために、すべてのソフトウェアパッケージにデジタル署名しています。mongot をインストールする前に、コンテナイメージまたは tarball を検証する必要があります。

Dockerコンテナのイメージを検証します

PEMファイルをダウンロードする

PEMファイルをmongodb-search-community.pem として保存するには、次のコマンドを実行します。

curl -fsSL https://cosign.mongodb.com/mongodb-search-community.pem -o mongodb-search-community.pem

コンテナイメージを検証します

Replace {VERSION_NUMBER} with the version of mongot that you downloaded from the MongoDB Search in Community Download Center and run the following command to verify the container image:

COSIGN_REPOSITORY=docker.io/mongodb/signatures cosign verify  --private-infrastructure --key=./mongodb-search-community.pem "docker.io/mongodb/mongodb-community-search:{VERSION_NUMBER}"

出力は、次のようになります。

Verification for index.docker.io/mongodb/mongodb-community-search:latest --
The following checks were performed on each of these signatures:
  - The cosign claims were validated
  - The signatures were verified against the specified public key
[{"critical":{"identity":{"docker-reference":"docker.io/mongodb/mongodb-community-search:latest"},
 "image":{"docker-manifest-digest":"sha256:b41f73a33aa62a62596b6aeaf4c177e47dc3a5901701f6d8d46f498a45f7ac53"},
 "type":"cosign container image signature"},"optional":null}]

Tarball を検証する

PGP キーをダウンロード

PGP キーを atlas-search.asc として保存するには、次のコマンドを実行します。

wget https://pgp.mongodb.com/atlas-search.asc

キーをキーリングに追加する

gpg --import atlas-search.asc

tarball 署名をダウンロード

Replace {VERSION_NUMBER} with the version of mongot that you downloaded from the MongoDB Search in Community Download Center and run the following command to download the tarball signature for the system architecture and version.

wget https://downloads.mongodb.org/mongodb-search-community/{VERSION_NUMBER}/mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz.sig

wget https://downloads.mongodb.org/mongodb-search-community/{VERSION_NUMBER}/mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz.sig

別のバージョンをダウンロードするには、{VERSION_NUMBER} のインスタンスを目的のバージョン番号に置き換えます。

tarball をダウンロード

Download the MongoDB Search in Community tarball from the MongoDB Download Center.

tarball を確認します

Replace {VERSION_NUMBER} with your version of mongot and run the following command to verify the tarball:

gpg --verify mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz.sig mongot_community_{VERSION_NUMBER}_linux_aarch64.tgz

gpg --verify mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz.sig mongot_community_{VERSION_NUMBER}_linux_x86_64.tgz

別のバージョンを確認するには、{VERSION_NUMBER} のインスタンスを目的のバージョン番号に置き換えます。

出力は、次のようになります。

gpg: Signature made Fri Sep  5 15:37:47 2025 PDT
gpg:                using RSA key 55C58636FD6CEE2B789B6F49516C2412904B6C26
gpg: Good signature from "MongoDB Atlas Search Release Signing Key <packaging@mongodb.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 55C5 8636 FD6C EE2B 789B  6F49 516C 2412 904B 6C26

戻る

MongoDBパッケージの整合性を検証する

MongoDB パッケージコンポーネント