<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:courier new,monospace">Control: reassign -1 golang-github-containers-common</div><div class="gmail_default" style="font-family:courier new,monospace">Control: tag -1 wontfix</div><div class="gmail_default" style="font-family:courier new,monospace">Control: severity -1 normal</div><div class="gmail_default" style="font-family:courier new,monospace">Control: affects -1 podman</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 4, 2021 at 3:47 PM Antonio Terceiro <<a href="mailto:terceiro@debian.org">terceiro@debian.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Dec 31, 2020 at 11:26:49AM -0300, Antonio Terceiro wrote:<br>
> Control: done -1 2.2.1+dfsg1-1<br>
> <br>
> On Thu, Dec 31, 2020 at 08:14:08AM -0500, Reinhard Tartler wrote:<br>
> > Can you please try the podman version in experimental? I believe what you<br>
> > describe (the shortnames) should work with version 2.2 just fine thanks to<br>
> > the shortnames.conf file.<br>
> <br>
> Ah yes the version in exprimental does fix this. Thanks!<br>
<br>
Actually, this only solves the issue for the few official images that<br>
are listed by default in<br>
/etc/containers/registries.conf.d/shortnames.conf<br>
<br>
Other image names still won't work. But I guess unqualified names are an<br>
anti-pattern in general?<br>
</blockquote></div><div class="gmail_default" style=""><font face="courier new, monospace"></font></div><div class="gmail_default" style="">In short, yes.<br><br>podman does support what you are asking for, it is just not enabled<br>by default.<br><br>If you wish to, you may set the option "unqualified-search-registries" for your user<br></div><div class="gmail_default" style="">in $HOME/.config/containers/registries.conf, or system-wide in /etc/containers/registries.conf.</div><div class="gmail_default" style="">This is documented in great detail on <a href="http://manpages.debian.org/containers-registries.conf">http://manpages.debian.org/containers-registries.conf</a></div><div class="gmail_default" style=""><br></div><div class="gmail_default" style="">In general, I would find it a reasonable choice to not trust the images on <a href="http://docker.io">docker.io</a></div><div class="gmail_default" style="">in general. You may want to prefer another container registry, possibly a local one, over the</div><div class="gmail_default" style="">one hosted by <a href="http://hub.docker.com">hub.docker.com</a>. Possibly you require encryption or other security features.</div><div class="gmail_default" style="">Podman offers a lot of knobs that are documented in that manpage.</div><div class="gmail_default" style=""><br></div><div class="gmail_default" style="">As package maintainer, setting the option of an unqualified path makes decisions on behalf</div><div class="gmail_default" style="">of the local system administrator that I'm not necessarily comfortable making in general. By</div><div class="gmail_default" style="">refusing to set this, I am trying to raise awareness of the security implication and hope this</div><div class="gmail_default" style="">encourages users that may not be familiar with the security implications of using OCI images</div><div class="gmail_default" style="">from untrusted sources to do some additional research.</div><div><br></div><span class="gmail_default" style="font-family:"courier new",monospace"></span>I hope this reasoning makes sense to you. I'm happy to discuss this further and consider<div><div class="gmail_default" style="">additional thoughts and input on the matter.<font face="courier new, monospace"></font></div><div><span class="gmail_default" style="font-family:"courier new",monospace"></span><br>-- <br><div dir="ltr" class="gmail_signature">regards,<br>    Reinhard</div></div></div></div>