MongoDB Enterprise Kubernetes Operator 패키지의 무결성 확인
이 페이지의 내용
MongoDB Enterprise Kubernetes Operator 1 부터 시작됩니다.26.0, MongoDB 릴리스 팀은 MongoDB Enterprise Kubernetes Operator 패키지가 유효하고 변경되지 않은 MongoDB 릴리스임을 증명하는 디지털 서명을 합니다. MongoDB Enterprise Kubernetes Operator를 설치하기 전에 제공된 PGP 서명 또는 SHA-256 체크섬을 사용하여 패키지의 유효성을 검사합니다.
PGP 서명은 변조를 방지하기 위해 파일의 신뢰성과 무결성을 모두 검사하여 가장 강력한 보증을 제공합니다.
Linux/macOS 패키지 확인
전제 조건
다음 명령을 실행하여 서명 키를 얻습니다.
wget https://cosign.mongodb.com/mongodb-enterprise-kubernetes-operator.pem
Cosign 사용
MongoDB는 각 릴리스 브랜치에 서명 파일로 서명합니다. 공개 키 파일을 사용하여 바이너리의 진위를 확인할 수 있습니다.
1
2
이미지 사용
게시된 Docker 이미지의 서명을 확인할 수도 있습니다. 다음 예시는 MongoDB Enterprise Kubernetes Operator 1 의 서명을 확인하는 방법을 보여줍니다.26.0 이미지:
cosign verify --key mongodb-enterprise-kubernetes-operator.pem quay.io/mongodb/mongodb-enterprise-operator-ubi:1.26.0 --insecure-ignore-tlog
WARNING: Skipping tlog verification is an insecure practice that lacks of transparency and auditability verification for the signature. Verification for quay.io/mongodb/mongodb-enterprise-operator-ubi:1.26.0 -- The following checks were performed on each of these signatures: - The cosign claims were validated - The signatures were verified against the specified public key [{"critical":{"identity":{"docker-reference":"quay.io/mongodb/mongodb-enterprise-operator-ubi:1.26.0"},"image":{"docker-manifest-digest":"sha256:9281935b4c36e0e4feebcf577abf21291ce0b517e7f637e6eaaf9769642abdd3"},"type":"cosign container image signature"},"optional":null}]