Docker近日釋出了1.8版本,其中最大亮點是安全機制Docker內容信任機制(Content Trust),能讓映像檔使用私密金鑰進行簽署,進而提高了Docker Container的安全性。

Docker資安負責人Diogo Mónica在部落格解釋此機制的運作方式,他表示,開發者將映像檔推(push)到遠端儲存庫前,Docker引擎會使用開發者的私密金鑰,在本地端與映像檔進行簽署。而下載此映像檔時,Docker引擎將會使用公開金鑰,確保此映像檔是開發者原始上傳的版本,避免有遭竄改的疑慮。

新版本安全機制源自於2015年DockerCon發表的Container驗證專案Notary,讓使用者能在離線狀況下使用金鑰進行簽署,隨即受到Docker使用者的熱切注目。而Notary的前身又為TUF(The Update Framework),此架構能提供軟體更新系統(Softwayre Update System)使用者一個安全環境,進行軟體更新。

Docker技術長Solomon Hykes在DockerCon上表示,TUF除了能避免映像檔內容遭偽造及對抗中間人攻擊(man-in-the-middle attack)外,亦能提供可存活金鑰折衷方案(survivable key comprimise),「如果系統中的金鑰遺失或者遭竊,你就碰上了大麻煩了,但是並不代表你完完全全死定了,」他表示,「仍然可以依據事情的嚴重度,採取相關措施解決問題,而非關門大吉。」

此外,Docker設定檔升級至2.1版,能將映像檔儲存至OpenStack Swift、Ceph Rados以及阿里雲OSS,另外,Docker也提供新的工具包(Toolbox)給OS X及Windows作業系統,方便使用者更快地建立起Docker開發環境。


Advertisement

更多 iThome相關內容