该网页截图主要介绍的是 Helm 的来源验证(Provenance)和完整性机制,而非具体的安全漏洞公告。它详细说明了如何使用 PGP/GnuPG 和 Keybase.io 来确保 Helm Chart 未被篡改。以下是基于页面内容总结的关键安全机制信息: 1. 核心机制概述 (Overview) Helm 提供了来源验证工具,帮助用户验证 Chart 的完整性和来源。 完整性建立:通过比较 Chart 与来源记录(Provenance record)来建立完整性。 存储方式:来源记录存储在 文件中,与 Chart 包( )一同发布。 验证工具:使用 等命令进行验证。 2. 关键操作流程 (Workflow & Commands) 页面提供了生成签名和验证签名的具体命令行操作,这是防止 Chart 被篡改的核心手段。 生成签名 (Signing packages): 注意: 参数必须是密钥 UID 的子串(如名称或邮箱)。 验证签名 (Verifying packages): 或者在安装时验证: 使用 Keybase.io 凭证 (Using Keybase.io credentials): 3. 验证失败原因 (Reasons a chart may not verify) 如果 Chart 无法通过验证,通常意味着完整性受损(潜在的安全风险),原因包括: 文件缺失或损坏: 文件缺失或已损坏。 密钥不匹配:用于签名的密钥不在本地的密钥环(keyring)中,意味着无法确认签署者的身份。 4. 来源文件结构 (The Provenance File) 文件包含以下验证信息: Chart 内容:原始的 文件。 校验和:Chart 包( )的 SHA256 校验和,用于检测篡改。 PGP 签名:整个文件体使用 OpenPGP 算法签名。 文件示例结构: 5. 其他安全特性 OCI 仓库支持:可以通过 插件将来源发布到 OCI 注册表(OCI-based registries)。 信任链:建议使用 Keybase 平台作为公共集中存储库来建立信任链。