<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Image on Tarragon</title><link>https://tarrragon.github.io/blog/tags/image/</link><description>Recent content in Image on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Thu, 21 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/image/index.xml" rel="self" type="application/rss+xml"/><item><title>Image Digest</title><link>https://tarrragon.github.io/blog/ci/knowledge-cards/image-digest/</link><pubDate>Thu, 21 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/ci/knowledge-cards/image-digest/</guid><description>&lt;p>Image Digest 的核心概念是「用內容雜湊識別不可變 image」。它補足 &lt;a href="https://tarrragon.github.io/blog/ci/knowledge-cards/container-registry/" data-link-title="Container Registry" data-link-desc="說明容器產物儲存、權限與推進流程在 CD 中的責任">Container Registry&lt;/a> 的命名治理，讓 &lt;a href="https://tarrragon.github.io/blog/ci/knowledge-cards/artifact-handoff/" data-link-title="Artifact Handoff" data-link-desc="說明測試與部署如何共用同一份可追溯產物">Artifact Handoff&lt;/a> 可以鎖定精準產物。&lt;/p>
&lt;h2 id="概念位置">概念位置&lt;/h2>
&lt;p>Image Digest 位在 image build、scan、registry promotion 與 runtime deploy 之間，通常以 &lt;code>sha256:...&lt;/code> 形式標識 image manifest 或 image index。&lt;/p>
&lt;h2 id="可觀察訊號">可觀察訊號&lt;/h2>
&lt;ul>
&lt;li>&lt;code>latest&lt;/code> 或 mutable tag 造成 staging 與 production 內容分叉。&lt;/li>
&lt;li>production runtime 需要反查實際跑的 image。&lt;/li>
&lt;li>掃描結果需要和部署內容精準對齊。&lt;/li>
&lt;/ul>
&lt;h2 id="接近真實服務的例子">接近真實服務的例子&lt;/h2>
&lt;p>CI build image 後推到 registry，scan 報告綁定 digest。Kubernetes manifest 在 production 使用同一個 digest，事故時可從 running pod 反查 workflow run 與 source commit。&lt;/p>
&lt;h2 id="設計責任">設計責任&lt;/h2>
&lt;p>Image Digest 要納入 deployment manifest、scan report、release note 與 rollback 記錄，讓 image 發布具備可追溯與可審計能力。&lt;/p></description><content:encoded><![CDATA[<p>Image Digest 的核心概念是「用內容雜湊識別不可變 image」。它補足 <a href="/blog/ci/knowledge-cards/container-registry/" data-link-title="Container Registry" data-link-desc="說明容器產物儲存、權限與推進流程在 CD 中的責任">Container Registry</a> 的命名治理，讓 <a href="/blog/ci/knowledge-cards/artifact-handoff/" data-link-title="Artifact Handoff" data-link-desc="說明測試與部署如何共用同一份可追溯產物">Artifact Handoff</a> 可以鎖定精準產物。</p>
<h2 id="概念位置">概念位置</h2>
<p>Image Digest 位在 image build、scan、registry promotion 與 runtime deploy 之間，通常以 <code>sha256:...</code> 形式標識 image manifest 或 image index。</p>
<h2 id="可觀察訊號">可觀察訊號</h2>
<ul>
<li><code>latest</code> 或 mutable tag 造成 staging 與 production 內容分叉。</li>
<li>production runtime 需要反查實際跑的 image。</li>
<li>掃描結果需要和部署內容精準對齊。</li>
</ul>
<h2 id="接近真實服務的例子">接近真實服務的例子</h2>
<p>CI build image 後推到 registry，scan 報告綁定 digest。Kubernetes manifest 在 production 使用同一個 digest，事故時可從 running pod 反查 workflow run 與 source commit。</p>
<h2 id="設計責任">設計責任</h2>
<p>Image Digest 要納入 deployment manifest、scan report、release note 與 rollback 記錄，讓 image 發布具備可追溯與可審計能力。</p>
]]></content:encoded></item></channel></rss>