harness/gitops-service-signed Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

gitops-service-signed 镜像文档

镜像概述和主要用途

gitops-service-signed是Harness GitOps的核心服务镜像，基于golang/bullseye基础镜像构建，用于支撑Harness GitOps功能的运行。该镜像提供软件物料清单（SBOM）相关的安全操作，包括SBOM下载、签名验证等，确保容器镜像的安全性和可追溯性。

核心功能和特性

• 支持Harness GitOps服务的基础运行环境
• 基于golang/bullseye构建，确保运行环境的稳定性和兼容性
• 提供SBOM（软件物料清单）的下载与解析能力
• 支持通过cosign工具进行镜像签名验证和SBOM证明验证
• 提供公开的签名公钥，便于用户验证镜像完整性

使用场景和适用范围

适用于需要部署Harness GitOps服务的环境，尤其适合对容器镜像安全性有严格要求的场景，如企业级DevOps流程、合规性要求较高的应用部署等，可用于验证镜像的来源合法性和软件组件组成。

详细使用方法和配置说明

镜像安装

通过docker pull命令拉取镜像：

bash
docker pull harness/gitops-service-signed:<TAG>

注：<TAG>需替换为具体的镜像版本标签。

下载SBOM（软件物料清单）

使用cosign工具下载并解析SBOM证明：

bash
cosign download attestation --predicate-type=[***] harness/gitops-service-signed:<tag> | jq -r .payload | base64 --decode | jq -r .predicate.Data | jq

注：<tag>需替换为具体的镜像版本标签，需提前安装jq和base64工具。

获取验证公钥

公钥可通过以下链接下载：
[***]

验证SBOM证明

使用cosign工具结合公钥验证SBOM证明，并输出结果到JSON文件；

bash
cosign verify-attestation --key cosign.pub harness/gitops-service-signed:<tag> --output-file results.json

注：<tag>需替换为具体的镜像版本标签，cosign.pub为已下载的公钥文件路径。

许可证信息

镜像许可证详情参见：[***]

获取帮助

如需技术支持，可加入Harness社区Slack：[***]