Docker 1.8.0 增加 Content Trust，容器安全性提升

Docker 这家初创公司，让 Docker 在 Linux 容器中构建和部署应用越来越受欢迎，最近宣布了一项行特性， Docker 在其最新版本的开源产品中增添 Content Trust ，这项功能将为使用容器的人们提供一个额外的安全层。

Docker Content Trust ，现在可以在 Docker1.8.0 版本中获取，它允许开发者在 Docker Hub 上下载 container images 之前检查其合法性。此项措施有望确保企业在利用 Docker 在自己的基础设施上部署应用时，不会有任何潜在的危险。

这对 Docker 来说异常重要，因为容器技术未来将取代传统厂商 Citrix 、 Microsoft 和 VMware 的虚拟机技术。

Linux 容器，它依赖于操作系统级的虚拟化，对比虚拟机有着诸多优势，但是让大企业相信基于开源的容器技术和虚拟化技术一样安全可靠，这是 Docker 公司目前面临的最大挑战，也是 Docker 必须面对的，所以安全一直是一件极其重要的事情。

根据 Docker 公司的声明， Content Trust 是这样运行的：

Docker Content Trust 有两个不同的 key ，一个 Offline key （ root ）和一个 Tagging key （ per-repository ），它们在 publisher 第一次 push an imags 时候在客户端生成和存储。每个版本库都有其自己独特的 tagging key ，它允许持有人为特定版本库进行数字签名 Docker image 。 tagging key 随时被使用来 new content 的添加和删除。因为 tagging key 是在线的，很容易被 compromised 。使用 Docker Content Trust ， publisher 使用 offline key 将能够安全的 rotate compromised keys ，它可以安全地离线存储。

Docker Content Trust 同时还产生一个 Timestamp key ，来防止 replay attacks 。 Docker 为你管理 Timestamp key ，减少不断刷新内容客户端的麻烦。

本文由张鹏程编译整理，原文链接： http://blog.tenxcloud.com/?p=375