热门搜索:

docker/referrers-staging

用于引用者认证的预发布环境Docker镜像，支持相关认证功能的测试与部署准备。

下载次数: 0状态：社区镜像维护者：Docker 官方工具与组件镜像仓库类型：镜像最近更新：1 年前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

referrers-attestation-staging 镜像文档

1. 镜像概述和主要用途

referrers-attestation-staging 镜像（示例名称，实际使用时需替换为官方镜像名称）是一款专为 staging 环境设计的工具镜像，主要用于实现和测试 OCI（开放容器倡议）Referrers Attestation（引用者证明）的管理、验证与集成流程。该镜像聚焦于软件供应链安全领域，帮助开发和测试团队在预发布阶段（staging 环境）验证、管理引用者证明（referrers attestation），确保软件构建产物的来源、构建过程及完整性符合预设安全策略。

2. 核心功能和特性

2.1 OCI 规范支持

兼容 OCI Referrers API v1.0 规范，支持引用者（referrers）元数据的创建、查询、验证和删除。
支持 OCI Artifact Manifest 和 Attestation Manifest 格式解析。

2.2 Attestation 验证能力

集成主流 attestation 格式验证工具，支持 SLSA（Supply Chain Levels for Software Artifacts）、in-toto、SPDX 等规范的 attestation 验证。
提供内置策略引擎，可自定义验证规则（如签名算法、证明者身份、构建环境要求等）。

2.3 Staging 环境适配

提供与 staging 环境基础设施（如私有镜像仓库、密钥管理服务、日志系统）的集成配置模板。
支持低资源消耗模式，适配 staging 环境的测试资源限制。

2.4 工具集与可操作性

内置命令行工具（如 referrers-cli），支持交互式操作和脚本化调用。
提供 REST API 接口，便于与 CI/CD 管道或监控系统集成。

2.5 可观测性与安全性

详细日志记录（支持 JSON 格式），包含验证结果、错误信息和操作审计。
支持 TLS 加密通信，可配置 CA 证书验证外部服务（如镜像仓库）。

3. 使用场景和适用范围

3.1 典型使用场景

CI/CD Staging 阶段验证：在应用部署到生产环境前，通过该镜像在 staging 环境中验证构建产物的 referrers attestation，确保供应链安全策略在预发布阶段已生效。
软件供应链安全测试：模拟生产环境中的 attestation 验证流程，测试不同***场景（如伪造 attestation、缺失 referrers 元数据）下的系统响应。
Referrers 元数据管理测试：测试 referrers 元数据的创建、更新、删除逻辑，验证与 OCI 镜像仓库（如 Docker Registry、GitHub Container Registry）的兼容性。
多环境一致性验证：对比开发、staging、生产环境中 referrers attestation 的差异，确保跨环境策略执行的一致性。

3.2 适用范围

开发团队：验证本地构建产物的 referrers attestation 合规性。
测试团队：在 staging 环境中执行软件供应链安全测试用例。
DevOps/SRE 团队：集成到 CI/CD 管道，自动化 staging 环境的 attestation 验证流程。
安全团队：审计 staging 环境中的 attestation 策略执行情况，优化安全规则。

4. 使用方法和配置说明

4.1 前置依赖

Docker 19.03+ 或兼容的容器运行时（如 containerd）。
访问 staging 环境的 OCI 镜像仓库（需配置认证，如用户名密码、Token 或证书）。
（可选）用于存储策略规则或证书的持久化存储（如本地目录、S3 兼容存储）。

4.2 基础使用（`docker run`）

4.2.1 交互式验证示例

通过命令行工具验证指定镜像的 referrers attestation：

bash
docker run -it --rm \
  -e STAGING_REGISTRY_URL="https://staging-registry.example.com" \
  -e REGISTRY_AUTH="username:password" \  # 或使用 REGISTRY_TOKEN
  -v /local/certs:/etc/referrers/certs:ro \  # 挂载 CA 证书（若仓库使用自签名证书）
  referrers-attestation-staging:latest \
  referrers-cli verify --image "staging-registry.example.com/app:v1.0.0" --policy /etc/referrers/policy.json

4.2.2 后台服务模式（API 接口）

启动 REST API 服务，提供 attestation 验证和 referrers 管理接口：

bash
docker run -d --name referrers-attestation-service \
  -p 8080:8080 \  # API 端口映射
  -e STAGING_REGISTRY_URL="https://staging-registry.example.com" \
  -e API_PORT=8080 \
  -e LOG_LEVEL=info \  # 日志级别：debug, info, warn, error
  -e TLS_ENABLED=true \
  -v /local/policy:/etc/referrers/policy:ro \  # 挂载策略文件目录
  -v /local/certs:/etc/referrers/certs:ro \  # 挂载 TLS 证书和 CA 证书
  referrers-attestation-staging:latest \
  server --config /etc/referrers/config.yaml

4.3 Docker Compose 配置示例

适用于多服务集成场景（如与 staging 环境的日志系统、密钥管理服务联动）：

yaml
version: "3.8"
services:
  referrers-attestation:
    image: referrers-attestation-staging:latest
    container_name: referrers-attestation-staging
    restart: unless-stopped
    ports:
      - "8080:8080"  # API 端口
    environment:
      - STAGING_REGISTRY_URL=https://staging-registry.example.com
      - REGISTRY_TOKEN=${REGISTRY_TOKEN}  # 从环境变量注入认证 Token
      - API_PORT=8080
      - LOG_LEVEL=info
      - POLICY_PATH=/etc/referrers/policy/default.json  # 默认策略文件路径
      - TLS_CERT_PATH=/etc/referrers/certs/server.crt
      - TLS_KEY_PATH=/etc/referrers/certs/server.key
    volumes:
      - ./local-policy:/etc/referrers/policy:ro  # 本地策略文件目录
      - ./local-certs:/etc/referrers/certs:ro  # 本地证书目录
      - ./logs:/var/log/referrers  # 日志持久化
    networks:
      - staging-network  # 接入 staging 环境网络

networks:
  staging-network:
    external: true  # 假设已存在 staging 环境网络

4.4 环境变量说明

环境变量名	类型	默认值	说明
`STAGING_REGISTRY_URL`	字符串	无（必填）	staging 环境 OCI 镜像仓库的基础 URL（如 `https://registry.example.com`）。
`REGISTRY_AUTH`	字符串	无	镜像仓库认证信息，格式为 `username:password` 或 `token:<token>`。
`API_PORT`	整数	8080	REST API 服务监听端口（仅在 `server` 模式下生效）。
`LOG_LEVEL`	字符串	"info"	日志级别，可选值：`debug`、`info`、`warn`、`error`。
`POLICY_PATH`	字符串	"/policy/default.json"	内置 attestation 验证策略文件路径，支持相对路径（基于容器内工作目录）或绝对路径。
`TLS_ENABLED`	布尔值	false	是否启用 TLS 加密（API 通信），启用时需配置 `TLS_CERT_PATH` 和 `TLS_KEY_PATH`。
`TLS_CERT_PATH`	字符串	无	TLS 证书文件路径（容器内路径，需通过卷挂载提供）。
`TLS_KEY_PATH`	字符串	无	TLS 私钥文件路径（容器内路径，需通过卷挂载提供）。
`TIMEOUT_SECONDS`	整数	30	外部服务（如镜像仓库）通信超时时间（秒）。

4.5 命令行工具使用

镜像内置 referrers-cli 工具，支持以下核心命令：

验证 Attestation

bash
# 验证指定镜像的 referrers attestation 是否符合策略
referrers-cli verify \
  --image "staging-registry.example.com/app:v1.0.0" \  # 目标镜像（含标签或 digest）
  --policy /etc/referrers/policy/staging-policy.json \  # 策略文件路径
  --registry-url $STAGING_REGISTRY_URL \                # 镜像仓库 URL（可省略，默认使用环境变量）
  --auth $REGISTRY_AUTH                                 # 认证信息（可省略，默认使用环境变量）

列出 Referrers 元数据

bash
# 列出指定镜像的所有 referrers 元数据
referrers-cli list \
  --image "staging-registry.example.com/app@sha256:abc123..." \  # 目标镜像（digest 格式）
  --output json                                                 # 输出格式：json 或 table

创建 Referrers 记录

bash
# 为镜像创建 referrers 记录（需仓库写入权限）
referrers-cli create \
  --image "staging-registry.example.com/app:v1.0.0" \
  --attestation-file ./local-attestation.json \  # 本地 attestation 文件（需通过卷挂载到容器内）
  --media-type "application/vnd.in-toto+json"    # attestation 媒体类型

4.6 持久化与数据管理

策略文件：建议通过卷挂载（如 -v ./local-policy:/etc/referrers/policy）持久化自定义策略，避免容器重启后配置丢失。
日志数据：日志默认输出到标准输出（stdout），可通过 Docker 日志驱动收集；也可配置日志文件路径（通过 LOG_FILE 环境变量），并挂载卷持久化（如 -v ./logs:/var/log/referrers）。
证书文件：若 staging 环境镜像仓库使用自签名 TLS 证书，需将 CA 证书挂载到容器内（如 -v ./certs:/etc/ssl/certs），并配置系统信任（或通过工具参数 --ca-cert /etc/ssl/certs/ca.crt 指定）。

5. 注意事项

权限控制：运行容器时建议使用非 root 用户（可通过 --user 参数指定），降低安全风险。
资源限制：staging 环境资源可能有限，建议通过 --memory 和 --cpus 参数限制容器资源（如 --memory 512m --cpus 0.5）。
版本兼容性：确保镜像版本与 staging 环境的 OCI 镜像仓库版本兼容（建议使用镜像仓库官方文档推荐的 OCI Referrers API 版本）。
认证安全：避免在命令行或配置文件中明文存储认证信息，优先使用环境变量注入或密钥管理服务（如 Vault）动态获取。

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 referrers-staging 镜像标签

docker pull docker.xuanyuan.run/docker/referrers-staging:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull docker/referrers-staging:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题 Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"