Docker sign是Docker官方推出的一種代碼簽名工具，用于驗證Docker鏡像的來源和完整性，以確保鏡像不被篡改或被惡意注入惡意代碼。利用Docker sign，用戶可以對自己的Docker鏡像進行簽名，保證鏡像的安全性，并通過對簽名進行驗證來遏制任何潛在的威脅。

Docker sign的核心功能是使用非對稱加密技術對Docker鏡像進行簽名。簽名是由鏡像的創建者生成的私鑰的加密令牌。任何人都可以使用公鑰驗證簽名。如果簽名驗證成功，則意味著鏡像來自可信源，并且未被修改。

$ docker trust key generate signing-key
Generating key for signing...
Enter passphrase for new signing key with ID 8574403905a8:
Repeat passphrase for new signing key with ID 8574403905a8:
Passphrase saved to configuration file.

Docker sign允許用戶在鏡像的Dockerfile中使用簽名。首先，用戶將私鑰上傳到Docker Hub或Docker Trusted Registry（DTR），然后，他們將使用簽名Dockerfile指令引用它。

FROM nginx:alpine
# Will verify the signature for the 'example.com/signing-key' key
SIGNED BY example.com/signing-key
...

通過Docker sign，用戶可以確保Docker鏡像的安全性。該工具可與Docker Hub或DTR集成，以使簽名的驗證變得更容易。您可以在這里找到更多關于Docker sign的信息，以及有關如何使用Docker Hub和Docker Trusted Registry進行鏡像審查和部署的詳細信息。