イメージダイジェスト

Docker イメージダイジェストとは？

Docker イメージダイジェストとは、Docker イメージの内容を表す一意の暗号学的識別子（SHA-256 ハッシュ）のことです。

タグ（tag）は再利用されたり変更されたりする可能性がありますが、ダイジェストは不変（immutable）であり、常に同じイメージが pull されることを保証します。

これにより、異なる環境やデプロイメント間での一貫性が確保されます。

例えば、nginx:latest イメージのダイジェストは次のようになります:


sha256:94a00394bc5a8ef503fb59db0a7d0ae9e1110866e8aee8ba40cd864cea69ea1a

このダイジェストは nginx:latest イメージの特定バージョンを一意に識別するものであり、イメージの内容が変更されれば、必ず異なるダイジェストが生成されます。

イメージダイジェストが重要な理由

タグの代わりにイメージダイジェストを使用することで、次のような利点があります:

イミュータビリティ（不変性）: 一度イメージがビルドされてダイジェストが生成されると、そのダイジェストに結びついた内容は変更されません。つまり、ダイジェストを指定してイメージを pull すれば、最初にビルドされたのとまったく同じイメージを取得できると保証されます。
セキュリティ: ダイジェストは、イメージ内容が改ざんされていないことを保証し、サプライチェーン攻撃を防ぐ助けとなります。イメージ内容がわずかに変わっただけでも、完全に異なるダイジェストが生成されます。
一貫性：ダイジェストを使用することで、開発・ステージング・本番など異なる環境間で同一のイメージが利用されることを保証でき、環境間の不整合リスクを減らせます。

Docker Hardened Image のダイジェスト

イメージダイジェストを使用して DHI を参照することで、アプリケーションが常にまったく同じセキュアなイメージバージョンを利用することを保証でき、セキュリティとコンプライアンスを強化できます。

イメージダイジェストを確認する

Docker CLI を使う場合

Docker イメージのダイジェストを確認するには、以下のコマンドを使用します。

<image-name>:<tag> は対象のイメージ名とタグに置き換えてください。


$ docker buildx imagetools inspect <image-name>:<tag>

Docker Hub UI を使う場合

Docker Hub にアクセスしてサインインします。
Organization の名前空間に移動し、ミラーリングされた DHI リポジトリを開きます。
Tags タブを選択して、イメージバリアントを表示します。
各タグのリストには Digest フィールドが含まれており、イメージの SHA-256 値が表示されます。

ダイジェストを指定してイメージを pull する

ダイジェストを指定してイメージを pull すると、そのダイジェストで識別される完全に同一のイメージバージョンを取得できることが保証されます。

Docker イメージをダイジェストで pull するには、次のコマンドを使用します。<image-name> をイメージ名に、<digest> をイメージのダイジェスト値に置き換えてください。


$ docker pull <image-name>@sha256:<digest>

例:

docs/dhi-python:3.13 イメージを、ダイジェスト 94a00394bc5a8ef503fb59db0a7d0ae9e1110866e8aee8ba40cd864cea69ea1a で pull する場合は次のように実行します:

マルチプラットフォームイメージとマニフェスト

Docker Hardened Images はマルチプラットフォームイメージとして公開されており、1 つのイメージタグ（例: docs/dhi-python:3.13）で、linux/amd64、linux/arm64 など複数の OS や CPU アーキテクチャをサポートできます。

マルチプラットフォームタグは単一のイメージを指すのではなく、マニフェストリスト（インデックスとも呼ばれる）を指しています。

これは上位のオブジェクトであり、サポートされる各プラットフォームごとに異なるイメージダイジェストを参照します。

docker buildx imagetools inspect を使ってマルチプラットフォームイメージを確認すると、次のような結果が得られます:


Name:      docs/dhi-python:3.13
MediaType: application/vnd.docker.distribution.manifest.list.v2+json
Digest:    sha256:6e05...d231

Manifests:
  Name:        docs/dhi-python:3.13@sha256:94a0...ea1a
  Platform:    linux/amd64
  ...

  Name:        docs/dhi-python:3.13@sha256:7f1d...bc43
  Platform:    linux/arm64
  ...

マニフェストリストのダイジェスト（sha256:6e05...d231）は、全体のマルチプラットフォームイメージを識別します。
各プラットフォーム固有のイメージには、それぞれ独自のダイジェストがあります（例: linux/amd64 用の sha256:94a0...ea1a）。

重要な理由

再現性: 異なるアーキテクチャでコンテナをビルドまたは実行する際、タグを指定するだけでプラットフォームに適したイメージダイジェストが解決されます。
検証: プラットフォーム固有のイメージダイジェストを pull して検証することで、マニフェストリスト全体ではなく、正確なイメージバージョンを利用していることを保証できます。
ポリシー適用: Docker Scout でダイジェストベースのポリシーを適用する場合、各プラットフォームのバリアントが個別にダイジェストを使って評価されます。