你交完UI稿,客户突然问:‘这真是你本地最新版导出的吗?没被中间人改过?’——听起来像玄学,但其实在容器世界里,这问题天天都在发生。
镜像不是“拿来就跑”,得先验个身
设计师打包一个Figma插件镜像发到公司私有仓库,运维拉下来部署时,如果镜像在传输中被篡改(比如混入挖矿脚本),或者有人伪造了同名镜像顶替发布,后果比误改一个图层严重得多。这时候,容器镜像签名机制就相当于给每个镜像打上带时间戳、不可抵赖的数字钢印。
怎么签?不是手写签名,是密钥+哈希+证书
简单说,就是用私钥对镜像的SHA256摘要加密,生成一段签名数据,再和镜像一起存进仓库。别人想拉取时,用对应的公钥解密签名,再自己算一遍镜像哈希,两头对得上,才敢信这是原作者亲签的。
比如用Cosign签一个叫 ui-builder:v1.2 的镜像:
cosign sign --key cosign.key registry.example.com/ui-builder:v1.2签完后,别人拉取前可以强制校验:
cosign verify --key cosign.pub registry.example.com/ui-builder:v1.2图形设计团队真能用上?当然
你们团队用GitLab CI自动构建Sketch插件Docker镜像,每次推送到内部Harbor时,CI流程末尾加一行签名命令;前端同学本地docker pull前,配置Docker daemon启用notary或cosign校验策略——就像PSD源文件加了密码保护,不是谁都能双击就改。
某次设计师提交了一个含字体渲染修复的镜像,运维发现签名验证失败,一查是CI流水线里某台构建机被植入了恶意缓存镜像。没签名机制,这问题可能要等上线后用户反馈“文字糊成一片”才暴露。
签名不增加设计产出时间,却把交付链路上的“信任成本”从人工确认变成自动判断——就像你导出PNG前顺手勾选“嵌入ICC配置文件”,不起眼,但关键时刻保色准。