https://github.com/docker-library/official-images#security говорит:
- Хорошо : загрузить файл через https, но все еще без проверки .
- Лучше : встроить контрольную сумму в Dockerfile.Было бы также лучше использовать https здесь, если он доступен .
- Best : отпечаток полного ключа, импортированный в apt-key, который будет проверять подписи, когда пакетыскачано и установлено .
- Alternate Best : импорт полного отпечатка ключа, загрузка через https, проверка подписи PGP для загрузки .
Я не вижу причин, почему загрузка ключа на основе отпечатка пальца с потенциально подделанного сервера PGP безопаснее, чем использование встроенной хэш-суммы в одном и том же сценарии проверки.
Зачем использовать PGP, если вы не доверяете ключу (гдездесь сеть доверия?).Разве проверка на SHA-256 не достаточно хороша?
И глупое требование загружать по HTTPS, даже если вы выполняете проверку целостности ... Похоже, что рекомендации были написаны современными хипстерами JS, которые считают, что если что-то стоитHTTPS это значит безопасный ...