Dockerイメージの署名を確認する
すべてのLiteLLM Dockerイメージは、cosign によって署名されています。すべてのリリースは、commit 0112e53 で導入されたのと同じキーで署名されています。
固定されたコミットハッシュで確認する(推奨):
コミットハッシュは暗号学的に不変なので、元の署名キーを使用していることを保証する最も強力な方法です:
cosign verify \ --key https://raw.githubusercontent.com/BerriAI/litellm/0112e53046018d726492c814b3644b7d376029d0/cosign.pub \ ghcr.io/berriai/litellm:v1.83.14-stable.patch.1
リリースタグで確認する(手軽):
このリポジトリではタグが保護されており、同じキーに解決されます。このオプションは読みやすい一方で、タグ保護ルールに依存します:
cosign verify \ --key https://raw.githubusercontent.com/BerriAI/litellm/v1.83.14-stable.patch.1/cosign.pub \ ghcr.io/berriai/litellm:v1.83.14-stable.patch.1
期待される出力:
The following checks were performed on each of these signatures:
- The cosign claims were validated
- The signatures were verified against the specified public key
