14.2. 验证镜像签名以确保镜像的完整性

先决条件

• 您已创建了签名集成。

  有关如何创建签名集成的更多信息，请参阅"使用签名集成保护容器镜像"。

流程

• 要使用 roxctl CLI 扫描镜像签名，请运行以下命令：

  $ roxctl image scan \
  --image=<registry>/<repository>/<image>@<digest> \
  --force-insecure-skip-tls-verify

  Copy to Clipboard Toggle word wrap

  其中：

  <registry>

  指定容器镜像 registry。例如，quay.io。

  <repository>

  指定容器镜像的存储库。例如，quay。

  <image>

  指定要扫描的容器镜像名称。例如： busybox。

  <digest>

  指定容器镜像的摘要。例如： sha256:92f3298bf80a1ba949140d77987f5de081f010337880cd771f7e7fc928f8c74d。

  验证输出是否包含签名。如果您的签名集成启用了透明日志验证，请验证输出是否包含 Rekor 捆绑包，并包含到透明日志中的验证。

  如果为签名集成启用了证书验证，请验证输出是否包含证书验证数据。