Quay项目v3.13.5版本发布：安全与存储功能升级

Quay是一个企业级的容器镜像仓库解决方案，由Red Hat开发并维护。它提供了强大的容器镜像存储、管理和分发能力，支持多种认证方式、细粒度的访问控制以及丰富的API接口。作为云原生生态中的重要组件，Quay广泛应用于Kubernetes和OpenShift环境中。

核心功能改进

本次v3.13.5版本带来了多项重要改进，主要集中在安全增强和存储功能优化方面。

存储后端STS S3实现升级

存储子系统进行了重要升级，改进了对STS S3存储后端的支持。新版本实现了对Web Identity Tokens的自动识别和使用能力，这使得Quay在AWS环境中能够更安全、更灵活地访问S3存储。当Web Identity Tokens可用时，系统会自动优先使用这种更现代的认证方式，而不是传统的长期凭证，这显著提升了安全性。

垃圾回收机制优化

针对容器镜像仓库特有的存储管理需求，本次更新改进了垃圾回收机制。当用户删除仓库时，系统现在会自动清理那些没有被任何标签引用的manifest文件。这一改进有效解决了长期存在的存储空间回收问题，避免了"孤儿"manifest占用存储空间的情况。

安全增强

安全方面，本次更新包含了多项重要修复和升级：

1. 升级了Jinja模板引擎至3.1.6版本，修复了已知的安全漏洞
2. 更新了elliptic库至6.5.7版本，解决了相关加密安全问题
3. 对cross-spawn库进行了版本升级，分别更新至6.0.6和7.0.6版本，消除了潜在的安全风险
4. 提升了Gunicorn的版本，增强了WSGI服务器的安全性

功能修复与稳定性提升

除了上述主要改进外，本次发布还包含了一些重要的功能修复：

• 修复了Swagger文档中超级用户API端点缺失的问题，现在PUT /superuser/users/接口已正确显示在API文档中
• 优化了manifest查找逻辑，解决了某些情况下隐藏manifest的访问问题
• 修复了日志系统中变量引用错误的问题，提高了日志记录的准确性
• 将CI/CD系统中的GitHub Runner环境升级至Ubuntu 22.04，提高了构建环境的稳定性和兼容性

总结

Quay v3.13.5版本虽然是一个小版本更新，但包含了多项对生产环境至关重要的改进。特别是存储和安全方面的增强，使得这个企业级容器镜像仓库解决方案更加健壮和安全。对于正在使用或考虑使用Quay的企业来说，升级到这个版本将获得更好的安全性和更高效的存储管理能力。