Dockerイメージ署名の確認
すべての LiteLLM Docker イメージは cosign で署名されています。すべてのリリースは、commit 0112e53 で導入された同じキーで署名されています。
固定された commit ハッシュを使用して確認(推奨):
commit ハッシュは暗号学的に不変なので、元の署名キーを使用していることを保証する最も強力な方法です:
cosign verify \ --key https://raw.githubusercontent.com/BerriAI/litellm/0112e53046018d726492c814b3644b7d376029d0/cosign.pub \ ghcr.io/berriai/litellm:v1.83.10-stable
リリースタグを使用して確認(便利):
このリポジトリではタグが保護されており、同じキーに解決されます。このオプションは読みやすいですが、タグ保護ルールに依存します:
cosign verify \ --key https://raw.githubusercontent.com/BerriAI/litellm/v1.83.10-stable/cosign.pub \ ghcr.io/berriai/litellm:v1.83.10-stable
期待される出力:
The following checks were performed on each of these signatures:
- The cosign claims were validated
- The signatures were verified against the specified public key
完全な変更履歴: v1.83.10-nightly...v1.83.10-stable
