1.6. 安全性

您可以在配置工具 UI 或配置捆绑包中为 Red Hat Quay registry 配置 SSL/TLS。还可以通过配置工具指定到数据库的 SSL/TLS 连接、到镜像存储和 Redis。

数据库中的敏感字段以及运行时会自动加密。您还可以在镜像操作过程中为 Red Hat Quay registry 需要 HTTPS 并验证证书。

Clair 是一种开源应用程序，它利用静态代码分析来解析镜像内容和报告影响内容的漏洞。Clair 与 Red Hat Quay 打包，可用于独立和 Operator 部署。它可以在高度可扩展的配置中运行，根据企业环境，可以单独扩展组件。

当使用 Red Hat Quay Operator 部署 Red Hat Quay 时，tls 组件会被默认设置为 管理，OpenShift Container Platform 的证书颁发机构用于创建 HTTPS 端点并轮转 TLS 证书。

如果将 tls 组件设置为 unmanaged，您可以向直通路由提供自定义证书，但您需要负责证书轮转。

Red Hat Quay 现在支持构建使用裸机和虚拟构建器的 Dockerfile。

通过使用裸机 worker 节点，每个构建都在临时虚拟机中完成，以确保构建运行时隔离和安全性。这提供了防止恶意有效负载的最佳保护。

在容器中运行构建与使用虚拟机时没有同样的隔离，但它仍然提供良好的保护。

Red Hat Quay 通过机构和团队提供完整的 registry 内容隔离，供用户和自动化工具具有精细的权限，以进行读取、写入和管理访问权限。