Fix format issue

02_basic_concept/2.3_repository.md

@@ -14,7 +14,7 @@ Docker Registry 是镜像分发和管理的核心组件。本节将介绍 Regist
 
 #### Registry、仓库、标签的关系
 
-Docker Registry 中可以包含多个 Repository，每个 Repository 可以包含多个 Tag。下图清晰地展示了它们之间的层级关系。
+Docker Registry 中可以包含多个 Repository，每个 Repository 可以包含多个 Tag。如图 2-2 所示，它们之间具有清晰的层级关系。
 
 ```
 ┌─────────────────────────────────────────────────────────────────────┐
@@ -37,6 +37,8 @@ Docker Registry 中可以包含多个 Repository，每个 Repository 可以包
 └─────────────────────────────────────────────────────────────────────┘
 ```
 
+图 2-2 Registry、Repository 与 Tag 的层级关系
+
 | 概念 | 说明 | 示例 |
 |------|------|------|
 | **Registry** | 存储镜像的服务 | Docker Hub、ghcr.io |
@@ -176,7 +178,7 @@ $ docker pull localhost:5000/myapp:v1.0
 
 #### 完整工作流程
 
-下图展示了从开发环境构建镜像，推送到 Registry，再到生产环境拉取运行的完整流程。
+如图 2-3 所示，镜像从开发环境构建后推送到 Registry，再由生产环境拉取并运行。
 
 ```
 开发者机器                    Registry                    生产服务器
@@ -194,6 +196,8 @@ $ docker pull localhost:5000/myapp:v1.0
      │                           │                  运行容器    │
 ```
 
+图 2-3 镜像构建、推送与拉取流程
+
 #### 常用命令
 
 运行以下命令：
@@ -244,16 +248,23 @@ someuser/myapp # ⚠️ 需要评估
 
 #### 镜像签名
 
-使用 Docker Content Trust (DCT) 验证镜像来源：
+当前更推荐使用 Sigstore / Notation 体系进行镜像签名与验证。`Docker Content Trust (DCT)` 已进入退场阶段，不建议作为新项目主方案。
+
+> 注意：Cosign 默认会把签名写回镜像所在仓库，请使用你有推送权限的镜像地址。
 
 ```bash
-## 启用镜像签名验证
+## 准备一个你有写权限的镜像地址
+$ export IMAGE=<你的仓库名>/nginx:1.27
+$ docker pull nginx:1.27
+$ docker tag nginx:1.27 $IMAGE
+$ docker push $IMAGE
 
-$ export DOCKER_CONTENT_TRUST=1
+## 生成签名密钥（会生成 cosign.key / cosign.pub）
+$ cosign generate-key-pair
 
-## 此后的 pull/push 会验证签名
-
-$ docker pull nginx:latest
+## 使用 Cosign 签名与验证
+$ cosign sign --key cosign.key $IMAGE
+$ cosign verify --key cosign.pub $IMAGE
 ```
 
 #### 漏洞扫描