DockerCon2015：Docker公司提出將重點關注容器安全

本文講的是DockerCon 2015：Docker公司提出將重點關注容器安全，【編者的話】本文是對11.16歐洲DockerCon大會的簡短報導。重點在Docker容器安全領域的新特性，對於在生產環境中更安全使用Docker有很大的參考價值。

Docker公司今天在巴塞羅那舉辦的DockerCon Europe大會上宣佈三款安全工具以及容器的一些新特性。

這些工具在不影響開發者正常工作流的情況下，使開發者使用容器更加安全。它們包括：使用Yubico硬體金鑰、支援使用者名稱稱空間，這樣Docker容器就不再需要root許可權連線了。這兩個新特性可以在Docker實驗版本頻道獲取。

Docker公司今天還宣佈它們會定期掃描Docker Hub上的90多個官方倉庫，來檢查是否有潛在的漏洞，並且釋出它們的掃描結果。

Docker創始人兼CTO Solomon Hykes在他的keynote中強調安全非常重要，但是人們往往在事後才注意到。“這些就像烘焙中需要在開始就備烘焙的食材”【譯者注：Solomon Hykes在這裡以烤麵包為例子，在開始就要先烤一些原料備用】。他指出：“你們需要在使用Docker初期就考慮好它的安全問題”。

作為Docker的產品總監，Scott Johnston在本週早些就告訴我，Docker團隊的目標是改善Docker平臺同時確保使用Docker的開發者們不會去做一些“讓他們平時的工作流不自然的事情”（Hykes稱之為“美好而舒適的開發流”）。例如，新的硬體簽名特性，它是基於最近推出的新的Docker Content Trust框架，這個框架允許容器的數字簽名。

現在，擁有同樣是今天推出的YubiKey 4的開發者可以簽名他們的容器，確保他們的Apps在Docker整個開發流程中完整一致。Docker與Yubico合作建立了觸控即簽名的編碼簽名系統使得開發人員能夠快速進入Docker命令列。

正如Johnston強調的那樣，可信任的內容在映象層又增加了安全層，但是開發者並不需要使用這一層。

當人們談到容器和安全時，事實是Docker守護式程式和容器需要root許可權才能連線到宿主機上，而這長期以來一直被人們所詬病。Johnston也承認這一點，他指出早期使用Docker也有好處因為它“促進市場的發展”。但是隨著容器日益流行安全問題也日益凸顯。

在新的實驗版本中，管理員可以分離容器和Docker守護式程式間的許可權。Docker守護式程式仍然需要root許可權，容器不再需要。但是Docker公司指出，這一改進使得執行中的Docker容器更加安全，例如，現在部門和團隊可以獲得連線控制容器的許可權了。

在很多情況下，容器的安全開始於執行在容器中的應用。為了在此做些改進，今天Docker公司宣佈將開始掃描官方Docker Hub倉庫中的容器是否存在潛在的漏洞（Heartbleed就是一個很好的例子）。

如果這些你聽起來很熟悉的話，是因為你可能瞭解到CoreOS最近對它的登錄檔中的容器做很類似的事情。就像CoreOS公司一樣，Docker將會發布容器的安全報告，就像Johnston對我說的那樣，這將協同上游的生態系統以保證這些問題儘快得以修復。

90個註冊Docker Trust的官方倉庫，大約佔Docker Hub上所有下載映象數量的20%。今天Hykes指出，經團隊測試後，實際上這項服務已經在靜靜地保護著這些版本庫兩個月了。該項計劃目的是要在未來擴充這個工具到所有的映象，包括私有的映象。

原文連線：Docker Puts Focus On Container Security（翻譯：adolphlwq）

=========================================
譯者介紹
adolphlwq，南京資訊工程大學本科大四學生。

原文釋出時間為：2015-11-18

本文作者：adolphlwq 

本文來自雲棲社群合作伙伴DockerOne，瞭解相關資訊可以關注DockerOne。

原文標題：DockerCon 2015：Docker公司提出將重點關注容器安全