MongoDB 출시하다 팀 Kubernetes Operator 패키지용 MongoDB Controller 패키지가 유효하고 변경되지 않은 MongoDB 릴리스임을 증명하는 디지털 서명을 합니다. Kubernetes Operator용 MongoDB 컨트롤러를 설치하기 전에 제공된 PGP 서명 또는 SHA-256 체크섬 사용하여 패키지 유효성을 검사합니다.
PGP 서명은 변조를 방지하기 위해 파일의 신뢰성과 무결성을 모두 검사하여 가장 강력한 보증을 제공합니다.
Linux/macOS 패키지 확인
전제 조건
다음 명령을 실행하여 서명 키를 얻습니다.
wget https://cosign.mongodb.com/mongodb-enterprise-kubernetes-operator.pem 
Cosign 사용
MongoDB 는 서명 파일로 각 출시하다 브랜치에 서명 파일. 공개 키 파일 을 사용하여 바이너리의 진위를 확인할 수 있습니다.
1
2
Use Images
게시된 Docker 이미지의 서명을 확인할 수도 있습니다. 다음 예시 Kubernetes Operator 1.0.0 용 MongoDB 컨트롤러의 서명을 확인하는 방법을 보여줍니다. 이미지:
cosign verify --key mongodb-enterprise-kubernetes-operator.pem quay.io/mongodb/mongodb-enterprise-kubernetes-operator:1.0.0 --insecure-ignore-tlog 
WARNING: Skipping tlog verification is an insecure practice that lacks of transparency and auditability verification for the signature. Verification for quay.io/mongodb/mongodb-kubernetes-operator:1.0.0 -- The following checks were performed on each of these signatures: - The cosign claims were validated - The signatures were verified against the specified public key [{"critical":{"identity":{"docker-reference":"quay.io/mongodb/mongodb-kubernetes-operator:1.0.0"},"image":{"docker-manifest-digest":"sha256:9281935b4c36e0e4feebcf577abf21291ce0b517e7f637e6eaaf9769642abdd3"},"type":"cosign container image signature"},"optional":null}]