专属
文档
插件
助手
邀请
顶部
快速返回页面顶部
收起
收起工具栏
轩辕镜像 官方专业版
轩辕镜像
专业版
轩辕镜像 官方专业版
轩辕镜像
专业版
首页个人中心搜索镜像

交易
充值流量我的订单

文档

工具

功能
提交工单页面收录

帮助
轩辕镜像免费版

其他
关于我们网站地图
热门搜索:
cas

codenotary/cas

codenotary

Community Attestation Service (CAS) 为任何数字资产提供有意义、全球唯一、不可变的身份,实现可信性、可验证性和可追溯性,支持在源代码、发布、部署或运行时进行持续信任验证,以检测和处理工作负载中的异常活动。

下载次数: 0状态:社区镜像维护者:codenotary仓库类型:镜像最近更新:3 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可:

请先完整阅读并严格遵守以下文档中的全部规则与要求:

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。

轩辕镜像,快一点,稳很多。点击查看
中文简介
标签列表
镜像标签列表与下载命令
轩辕镜像,快一点,稳很多。点击查看

Community Attestation Service (CAS)

https://github.com/codenotary/cas/actions/workflows/pull.yml/badge.svg](https://github.com/codenotary/cas/actions/workflows/pull.yml) https://goreportcard.com/badge/github.com/codenotary/cas](https://goreportcard.com/report/github.com/codenotary/cas)

为任何数字资产提供有意义、全球唯一、不可变的身份,确保其真实性、可验证性和可追溯性。

在源代码、发布、部署或运行时使用 CodeNotary CAS,可实现持续信任验证,用于检测工作负载中的异常或不需要的活动并采取行动。

借助 CodeNotary 的数字身份基础设施,CAS 允许对所有数字资产进行证明,添加自定义信任级别、属性和有意义的状态,而无需修改或附加任何内容(与数字证书不同)。这使得发布后可以进行变更和撤销,而不会破坏任何客户环境。

一切都以全球化、协作的方式完成,打破常见的孤岛解决方案架构。利用不可变、始终在线的 DLT 平台,可避免复杂的证书颁发机构或数字证书设置(这对于 DevOps 而言也不适用)。

:warning: 从 v0.10 版本开始,重大重构已取代旧的 VCN CLI。虽然旧的 VCN 版本可在发布部分下载,但我们不再提供支持和维护。

目录

  • 快速开始
  • 面向 DevSecOps
  • CodeNotary CAS 可检测的行为类型
  • 安装
  • 使用方法
  • 集成
  • 文档
  • 高级用法
  • 许可证

快速开始

  1. 创建身份(免费) - 从免费的云 CAS Cloud 获取 API_KEY。

  2. 下载 CodeNotary CAS

    bash
    bash <(curl http://getcas.codenotary.io -L)

Windows 用户可从 https://github.com/codenotary/cas/releases/latest 下载二进制文件。

  1. 登录

    bash
    export CAS_API=<你的 API KEY>; cas login

  2. 创建软件物料清单(SBOM)

    bash
    cas bom docker://wordpress

  3. 证明资产 证明是公证(创建资产的数字证明)和认证(获取资产的真实性)的组合。

    公证资产:

    bash
    cas notarize docker://wordpress

    认证资产:

    bash
    cas authenticate docker://wordpress

面向 DevSecOps

CodeNotary CAS 是由痴迷于 DevOps 的工程师为 DevOps 工程师编写的解决方案,旨在为云原生从源代码到部署的流程带来更好的信任和安全性。

CodeNotary CAS 可检测的行为类型

CAS(及其 Docker、Kubernetes、文档或 CI/CD 扩展)可以检测、认证并警报任何涉及使用非真实数字资产的行为。CAS 验证可嵌入任何位置,用于触发警报、更新或工作流。

CAS 用途广泛,可帮助检测或处理以下行为(但不限于):

  • 为源代码、构建和容器镜像添加不可变标记,包括版本号、所有者、时间戳、组织、信任级别等
  • 从任何源代码、构建和容器(基于相关镜像)中简单且防篡改地提取公证标记,如版本号、所有者、时间戳、组织和信任级别
  • 快速发现和识别应用程序中不受信任、已撤销或过时的库、构建和容器
  • 立即检测未授权或未知容器的启动
  • 防止不受信任或已撤销的容器在生产环境中启动
  • 验证通过任何渠道接收的所有数据的完整性和发布者

以及更多:

  • 启用应用程序版本检查和操作
  • 通过简单的撤销或不支持操作追踪有缺陷或***的库
  • 部署后撤销或不支持构建或构建版本(无需复杂的证书撤销,包括交付新签名的构建)
  • 阻止不需要的容器启动
  • 将撤销作为修复流程的一部分
  • 使用撤销而不影响客户环境
  • 通过集成到 CI/CD 或手动工作流,追踪从源代码到构建再到部署的过程
  • 为特定用例标记应用程序(如 alpha、beta、非商业用途等)

不仅限于容器,还包括虚拟机 - https://github.com/openfaas-incubator/vcenter-connector

  • 新创建或现有虚拟机自动获得可信任或不可信任的唯一身份
  • 防止启动不受信任的 VM
  • 停止或挂起运行中的过时或不受信任的 VM
  • 检测 VM 的克隆或导出并发出警报

安装

下载二进制文件

最简单的方法是从 https://github.com/codenotary/cas/releases 下载适用于你平台的最新版本。

下载后,可将二进制文件重命名为 cas,然后从任何位置运行。

Linux 和 macOS 用户需要将文件标记为可执行:chmod +x cas

Homebrew / Linuxbrew

如果使用 macOS 并安装了 Homebrew(或 Linux 安装了 Linuxbrew),可通过以下命令安装 cas:

bash
brew tap codenotary/brew
brew install cas

从源代码构建

安装 golang 1.12 或更高版本后,将此仓库克隆到工作目录。

然后,在工作目录中使用 make cas 构建 cas,之后运行 ./cas。

或者,只需运行 make install 即可在系统中安装 cas,这会将 cas 可执行文件放入 GOBIN,从而可在系统范围内访问。

yum 和 deb(待完成)

使用方法

基本上,cas 可以公证或认证以下类型的资产:

  • 文件
  • git 提交(通过在本地 git 工作目录路径前添加 git://)
  • 容器镜像(使用 docker:// 或 podman://,后跟本地 docker 或 podman registry 中存在的镜像名称)

可使用 --hash 标志直接提供哈希值。

有关详细的 命令行用法,请参见 docs/cmd/cas.md 或运行 cas help。

通配符支持和递归公证

也可使用通配符公证资产。使用 --recursive 标志可遍历内部目录:

bash
./cas n "*.md" --recursive

公证

首先在 codenotary.com 注册账户。

然后使用 login 命令开始。首次使用时,cas 将引导你完成登录和导入密钥的过程:

bash
cas login

设置密钥后,可按以下示例公证资产:

bash
cas notarize <文件>
cas notarize docker://<镜像ID>
cas notarize podman://<镜像ID>
cas notarize git://<git仓库路径>
cas notarize --hash <哈希>

默认情况下,所有资产均为私有公证,因此不会披露太多资产信息。如果要公开(从而更可信),请使用 --public 标志:

bash
cas notarize --public <资产>

更改资产状态:

bash
cas unsupport <资产>
cas untrust <资产>

最后,获取所有已公证的资产:

bash
cas list

认证

bash
cas authenticate <文件>
cas authenticate docker://<镜像ID>
cas authenticate podman://<镜像ID>
cas authenticate git://<git仓库路径>
cas authenticate --hash <哈希>

:bulb: 也可在没有 CAS_API_KEY 的情况下进行公开认证 - 更多信息请参见 公开认证

以 json 或 yaml 格式输出结果:

bash
cas authenticate --output=json <资产>
cas authenticate --output=yaml <资产>

有关更多详细信息,请查看 用户指南。

集成

  • https://github.com/marketplace/actions/verify-commit - 在 Github 工作流中验证提交真实性的操作
  • docker - 开箱即用地支持公证和认证 Docker 镜像
  • https://hub.docker.com/r/codenotary/cas - cas 的 DockerHub 仓库

文档

  • Community Attestation Service 快速入门
  • 命令行用法
  • 配置
  • 环境变量
  • 格式化输出(json/yaml)
  • 公证原理(待完成)

高级用法

运行前自动认证 Docker 镜像

首先,需要拉取镜像:

bash
docker pull hello-world

然后使用以下命令设置自动安全检查,只允许已验证的镜像运行:

bash
cas authenticate docker://hello-world && docker run hello-world

如果镜像未通过验证,则不会运行任何内容。

认证多个资产

可通过将其他命令的输出通过管道传递给 cas 来认证多个资产:

bash
ls | xargs cas authenticate

只有当其他命令输出中的所有资产都通过验证时,退出代码才为 0。

按特定签名者认证

添加 --signerID 标志,可认证资产是否由特定 SignerID 签名。

SignerID 是签名者的公钥地址(表示为以 0x 为前缀的 40 个十六进制字符长字符串)。

bash
cas authenticate --signerID 0x8f2d1422aed72df1dba90cf9a924f2f3eb3ccd87 docker://hello-world

按签名者列表认证

如果需要将资产或组织信任的资产验证为特定签名者列表的先决条件,可使用 cas authenticate 命令和以下语法:

  • 在每个要添加的 SignerID 前添加 --signerID 标志(例如 --signerID 0x0...1 --signerID 0x0...2)
  • 或正确设置环境变量 cas_SIGNERID,使用空格分隔每个 SignerID(例如 cas_SIGNERID=0x0...1 0x0...2)

注意,使用 --signerID 标志将优先于 cas_SIGNERID。

只有当资产由至少一个签名者签名时,资产认证才会成功。

使用资产哈希进行认证

如果只想使用资产的哈希进行认证,可使用以下命令:

bash
cas authenticate --hash fce289e99eb9bca977dae136fbe2a82b6b7d4c372474c9235adc1741675f587e

撤销/不支持不再拥有的资产

如果要撤销/不支持不再拥有的资产,可使用资产哈希执行以下步骤。

首先,使用 cas list 命令获取资产的哈希。然后在 CLI 中使用:

bash
cas untrust --hash <资产哈希>
# 或
cas unsupport --hash <资产哈希>

TLS

默认情况下,cas 将尝试与 Community Attestation Service 建立安全连接(TLS)。

如果 cas 无法自动下载服务器证书,用户也可提供自定义 TLS 证书:

bash
cas login --port 443 --host cas.codenotary.com --cert mycert.pem

出于测试目的或如果客户端应始终信任提供的证书,用户可配置 cas 使用 --skip-tls-verify 选项跳过 TLS 证书验证:

bash
cas login --port 443 --host cas.codenotary.com --cert mycert.pem --skip-tls-verify

最后,如果 Community Attestation Service 未通过 TLS 端点公开,用户可使用 --no-tls 选项请求明文连接:

bash
cas login --port 80 --host cas.codenotary.com  --no-tls

验证 CAS 服务器身份

CAS 返回的每条消息都经过加密签名。

要验证服务器身份,可在本地计算指纹并与以下值比较:

SHA256:Re5IAHGkYk32xfnG8txbwJuJPVFe8Mf5AOv3bLg6XsY

使用以下命令生成本地指纹:

bash
ssh-keygen -i -m PKCS8 -f ~/.cas-trusted-signing-pub-key > mykey.pem.pub
ssh-keygen -l -v -f mykey.pem.pub
rm mykey.pem.pub

签名资产时添加自定义元数据

用户可在资产公证时使用 --attr 选项上传自定义元数据,例如:

bash
cas n README.md --attr Testme=yes --attr project=5 --attr pipeline=test

此命令将添加自定义资产元数据:Testme: yes、project: 5、pipeline: test。

用户可在资产认证时读取元数据,例如使用 jq 工具:

bash
cas a README.md -o json | jq .metadata

检查

检查功能已扩展,添加了新过滤器:--last、--first、--start 和 --end。使用 --last 和 --first 分别返回最后 N 个或第一个 N 个项目。

bash
cas inspect document.pdf --last 10

使用 --start 和 --end 可使用时间范围过滤器:

bash
cas inspect document.pdf --start 2020/10/28-08:00:00 --end 2020/10/28-17:00:00

如果未提供过滤器,最多返回 10 个项目。

签名者标识符

可按签名者标识符过滤结果:

bash
cas inspect document.pdf --signerID CygBE_zb8XnprkkO6ncIrbbwYoUq5T1zfyEF6DhqcAI=

公开认证

认证由拥有 Community Attestation Service 颁发的 CAS_API_KEY 的用户执行。但在某些情况下需要***认证:例如在开源仓库中通过 GitHub Action 执行认证。对于此类场景,可进行公开认证,无需 CAS_API_KEY,但必须定义 SIGNER_ID。示例:

bash
cas authenticate --signerID 0xxxxxxxxxxxxxxxxxxxxxxxxxxx docker://hello-world

许可证

本软件根据 Apache 2.0 许可发布。

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。

轩辕镜像加速拉取命令点我查看更多 cas 镜像标签

docker pull docker.xuanyuan.run/codenotary/cas:<标签>

使用方法:

  • 登录认证方式
  • 免认证方式

DockerHub 原生拉取命令

docker pull codenotary/cas:<标签>

更多 cas 镜像推荐

georchestra/cas logo

georchestra/cas

georchestra
geOrchestra空间数据基础设施(SDI)的CAS模块,提供单点登录(SSO)功能及LDAP目录认证。
1万+ 次下载
10 个月前更新
apereo/cas logo

apereo/cas

apereo
Central Authentication Service (CAS) 是企业级多语言Web单点登录解决方案,提供全面的认证和授权平台,支持多种认证协议、多因素认证及高可用部署,适用于企业级Web应用的统一身份管理。
131 次收藏100万+ 次下载
17 天前更新
cassandra logo

library/cassandra

Docker 官方镜像
Apache Cassandra是一款开源的分布式存储系统。
1.6千 次收藏1亿+ 次下载
26 天前更新
mmoayyed/cas logo

mmoayyed/cas

mmoayyed
暂无描述
1万+ 次下载
4 年前更新

查看更多 cas 相关镜像

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助?请查看我们的 常见问题 Docker 镜像访问常见问题解答 或 提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

登录 · 专属域名 · 配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest(架构)

账号

失败是否计费

manifest · blob · 计费

申请开发票(企业 / 个人)

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈,见证轩辕镜像的优质服务

用户头像

oldzhang

运维工程师

Linux服务器

5

"Docker访问体验非常流畅,大镜像也能快速完成下载。"

轩辕镜像
镜像详情
...
codenotary/cas
教程轩辕镜像功能与使用教程
价格查看流量套餐与价格
热门查看热门 Docker 镜像推荐
博客Docker 镜像公告与技术博客
官方公众号:源码跳动|官方技术交流群:831623681
官方公众号:源码跳动|官方技术交流群:|问题咨询请:提交工单
商务合作:点击复制邮箱
©2024-2026 源码跳动
商务合作:点击复制邮箱Copyright © 2024-2026 杭州源码跳动科技有限公司. All rights reserved.