Docker Build-Push Action中关于export-build镜像签名问题的解析

问题背景

在使用Docker Build-Push Action进行容器构建和推送时，当设置了DOCKER_CONTENT_TRUST=1环境变量启用内容信任机制后，系统会尝试验证docker.io/dockereng/export-build镜像的签名。然而，该镜像在notary.docker.io上缺少信任数据，导致验证失败并产生错误日志。

技术原理

Docker内容信任(Docker Content Trust)是Docker提供的一种安全机制，它通过数字签名来验证镜像的真实性和完整性。当启用内容信任后，Docker会检查从注册表拉取的镜像是否由可信的发布者签名。

在Build-Push Action的工作流程中，构建完成后会执行"Post Build Container Image"阶段，此时会拉取dockereng/export-build镜像用于构建记录的导出。由于该镜像未在notary服务中注册签名信息，导致内容信任验证失败。

影响分析

虽然这个错误会导致日志中出现警告信息，但实际上不会影响主要构建和推送流程的正常完成。这是因为：

1. 该错误发生在构建后的清理阶段
2. export-build镜像仅用于辅助功能，不影响主镜像的构建和推送
3. 错误代码125表示的是容器运行失败，但不会中断整个工作流程

解决方案

这个问题已在Build-Push Action的6.5.0版本中得到修复。升级到最新版本可以避免这个警告信息的出现。

对于暂时无法升级的用户，可以考虑以下两种临时解决方案：

1. 在关键构建步骤完成后，临时禁用内容信任：

env:
  DOCKER_CONTENT_TRUST: ${{ github.event_name != 'pull_request' && startsWith(github.event.ref, 'refs/tags/v') && '1' || '0' }}

2. 在Post Build阶段单独禁用内容信任：

- name: Post Build
  env:
    DOCKER_CONTENT_TRUST: 0
  run: |
    # 后处理命令

最佳实践建议

1. 定期更新GitHub Action到最新版本，以获取安全修复和功能改进
2. 对于生产环境的关键构建，建议保持内容信任启用状态
3. 在CI/CD流水线中，可以针对不同阶段设置不同的安全级别
4. 监控构建日志中的警告信息，及时处理可能的安全隐患

通过理解这个问题的本质和解决方案，开发者可以更好地管理容器构建过程中的安全策略，平衡安全需求与构建效率。