Cosign 2.4.2版本copy命令参数变更解析

在容器镜像签名工具Cosign的2.4.2版本中，用户在执行copy命令时可能会遇到一个参数校验错误。这个变更源于项目内部对命令参数处理的优化调整，需要开发者特别注意。

问题现象

当用户从2.4.1版本升级到2.4.2版本后，原本可以正常执行的copy命令会报错：

Error: invalid value for --only: , only following values are supported, map[att:{} sbom:{} sig:{}]

这个错误提示表明，--only参数现在需要显式指定有效值，而不再支持默认行为。有效值仅限于att、sbom和sig三种类型。

技术背景

在Cosign 2.4.1及之前版本中，copy命令可以不带--only参数执行，此时工具会默认复制所有相关签名和附件。2.4.2版本引入了更严格的参数校验机制，要求用户必须明确指定要复制的对象类型。

这种变更属于API的破坏性变更(breaking change)，虽然提高了命令的明确性，但也导致了向后兼容性问题。项目团队在后续版本中已经修复了这个问题，但用户仍需要注意这一变更。

解决方案

对于遇到此问题的用户，有以下几种解决方法：

1. 显式指定参数值：在执行copy命令时添加--only参数并指定有效值，例如：

   cosign copy --only=sig -f alpine ttl.sh/example
   

2. 升级到修复版本：使用2.4.3或更高版本，这些版本已经解决了参数校验过于严格的问题。

3. 多参数组合：如果需要复制多种类型的对象，可以使用逗号分隔多个值：

   cosign copy --only=sig,sbom -f alpine ttl.sh/example
   

最佳实践建议

1. 版本兼容性检查：在自动化脚本中使用cosign命令时，应该考虑不同版本间的行为差异，必要时添加版本检测逻辑。

2. 明确复制需求：即使在使用修复版本后，也建议显式指定--only参数，这可以使操作意图更加清晰，避免意外行为。

3. 测试验证：在升级cosign版本后，应该对关键工作流进行测试验证，确保没有类似的兼容性问题。

这个案例提醒我们，在使用开源工具时，及时关注版本变更日志和已知问题是非常重要的，特别是对于自动化流程中使用的工具，版本升级应该谨慎进行。