MongoDBリリースチームは、有効で、改変されていないMongoDBリリースであることを証明するために、 Kubernetes Operator パッケージ用のMongoDBパラメーターにデジタル署名しています。MongoDB Controls for Kubernetes Operator をインストールする前に、提供されている PGP 署名か SHA-256チェックサム値を使ってパッケージを検証します。
PGP 署名は、改ざんを防止するためにファイルの信頼性と整合性の両方をチェックすることで、最も強力な保証を提供します。
Linux/macOS パッケージの検証
前提条件
次のコマンドを実行して、署名キーを取得します。
wget https://cosign.mongodb.com/mongodb-enterprise-kubernetes-operator.pem
Cosign を使用する
MongoDB は、各リリース ブランチに署名ファイルで署名します。 公開鍵ファイルを使用して、バイナリの認証性を確認できます。
1
MongoDB kubernetesプラグインファイルをダウンロードします。
ARM 64アーキテクチャで Darwin を使用して 1.0.0リリースをダウンロードするには、次のコマンドを実行します。
wget https://github.com/mongodb/mongodb-kubernetes/releases/download/1.0.0/public/kubectl-mongodb_1.0.0_darwin_arm64.tar.gz
Saving : « kubectl-mongodb_1.0.0_darwin_arm64.tar.gz »
2
Use Images
公開されたDockerイメージの署名を検証することもできます。次の例は、 MongoDB Controls for Kubernetes演算子 1.0.0 の署名を検証する方法を示しています。画像:
cosign verify --key mongodb-enterprise-kubernetes-operator.pem quay.io/mongodb/mongodb-enterprise-kubernetes-operator:1.0.0 --insecure-ignore-tlog
WARNING: Skipping tlog verification is an insecure practice that lacks of transparency and auditability verification for the signature. Verification for quay.io/mongodb/mongodb-kubernetes-operator:1.0.0 -- The following checks were performed on each of these signatures: - The cosign claims were validated - The signatures were verified against the specified public key [{"critical":{"identity":{"docker-reference":"quay.io/mongodb/mongodb-kubernetes-operator:1.0.0"},"image":{"docker-manifest-digest":"sha256:9281935b4c36e0e4feebcf577abf21291ce0b517e7f637e6eaaf9769642abdd3"},"type":"cosign container image signature"},"optional":null}]