Docker 1.8.0增長Content Trust，容器安全性提高

Docker這家初創公司，讓Docker在Linux容器中構建和部署應用愈來愈受歡迎，最近宣佈了一項行特性，Docker在其最新版本的開源產品中增添Content Trust，這項功能將爲使用容器的人們提供一個額外的安全層。

Docker Content Trust ，如今能夠在Docker1.8.0版本中獲取，它容許開發者在Docker Hub上下載container images以前檢查其合法性。此項措施有望確保企業在利用Docker在本身的基礎設施上部署應用時，不會有任何潛在的危險。

這對Docker來講異常重要，由於容器技術將來將取代傳統廠商Citrix、Microsoft和VMware的虛擬機技術。

Linux容器，它依賴於操做系統級的虛擬化，對比虛擬機有着諸多優點，可是讓大企業相信基於開源的容器技術和虛擬化技術同樣安全可靠，這是Docker公司目前面臨的最大挑戰，也是Docker必須面對的，因此安全一直是一件極其重要的事情。

根據Docker公司的聲明， Content Trust是這樣運行的：

Docker Content Trust有兩個不一樣的key，一個Offline key（root）和一個Tagging key（per-repository），它們在publisher第一次push an imags時候在客戶端生成和存儲。每一個版本庫都有其本身獨特的tagging key，它容許持有人爲特定版本庫進行數字簽名Docker image。tagging key隨時被使用來new content的添加和刪除。由於tagging key是在線的，很容易被compromised。使用Docker Content Trust，publisher使用offline key將可以安全的rotate compromised keys，它能夠安全地離線存儲。

Docker Content Trust同時還產生一個Timestamp key，來防止replay attacks。Docker爲你管理Timestamp key，減小不斷刷新內容客戶端的麻煩。

本文由張鵬程編譯整理，原文連接：http://blog.tenxcloud.com/?p=375