【编者按】本文是11.16DockerConEurope大会的简短报道。重点介绍了Docker容器安全领域的新特性,对于在生产环境中更安全地使用Docker具有很大的参考价值。DockerInc.在巴塞罗那举行的DockerConEurope上宣布了三种安全工具和一些容器新功能。这些工具使容器对开发人员来说更加安全,而不会中断他们的正常工作流程。它们包括:使用Yubico硬件密钥,支持用户命名空间,这样Docker容器不再需要root权限即可连接。这两个新功能在Docker实验性发布频道上可用。Docker今天还宣布,它会定期扫描DockerHub上的90多个官方存储库以查找潜在漏洞并发布扫描结果。Docker创始人兼CTOSolomonHykes在他的主题演讲中强调安全性非常重要,但人们往往在事后没有注意到这一点。“这些就像烘焙中的配料一样,一开始就需要烘焙”他指出:“在使用Docker的初期就需要考虑Docker的安全问题。”作为Docker的产品总监,ScottJohnston本周早些时候告诉我,Docker团队的目标是改进Docker平台,同时确保使用Docker的开发人员不会做“让他们的正常工作流程变得不自然”的事情。(Hykes称其为“一个不错且舒适的开发流程”)。例如,新的硬件签名功能,它基于最近推出的新DockerContentTrust框架,允许对容器进行数字签名。现在,拥有同样于今天发布的YubiKey4的开发人员可以签署他们的容器,确保他们的应用程序在整个Docker开发过程中完全一致。Docker与Yubico合作构建了触摸签名代码签名系统,允许开发人员快速进入Docker命令行。正如Johnston强调的那样,可信内容在图像层增加了另一层安全性,但开发人员不需要使用这一层。当人们谈论容器和安全时,Docker守护进程和容器需要root权限才能连接到主机这一事实长期以来一直受到批评。Johnston也承认了这一点,并指出早期采用Docker也是有益的,因为它“促进了市场发展”。然而,随着容器的日益普及,安全问题也日益突出。在新的实验版本中,管理员可以分离容器和Docker守护进程之间的权限。Docker守护进程仍然需要root权限,容器不再需要。但该公司指出,这一改进使运行Docker容器更加安全,例如,现在部门和团队可以获得连接到控制容器的访问权限。在许多情况下,容器安全性始于容器中运行的应用程序。为了改善这里的情况,今天Docker,Inc.宣布它将开始扫描官方DockerHub存储库中的容器以查找潜在漏洞(Heartbleed就是一个很好的例子)。如果您觉得这些听起来很熟悉,那是因为您可能了解到CoreOS最近在其注册表中对容器做了类似的事情。与CoreOS一样,Docker将发布容器安全报告,正如Johnston告诉我的那样,这些报告将与上游生态系统协调,以确保尽快修复这些问题。在DockerTrust注册了90个官方存储库,约占DockerHub上所有下载图像的20%。Hykes今天指出,在团队测试后,该服务实际上已经悄悄保护了这些存储库两个月。该项目计划在未来将此工具扩展到所有镜像,包括私有镜像。原文链接:http://dockone.io/article/833
