Docker 1.8.0增长Content Trust，容器安全性提高

Docker这家初创公司，让Docker在Linux容器中构建和部署应用愈来愈受欢迎，最近宣布了一项行特性，Docker在其最新版本的开源产品中增添Content Trust，这项功能将为使用容器的人们提供一个额外的安全层。

Docker Content Trust ，如今能够在Docker1.8.0版本中获取，它容许开发者在Docker Hub上下载container images以前检查其合法性。此项措施有望确保企业在利用Docker在本身的基础设施上部署应用时，不会有任何潜在的危险。

这对Docker来讲异常重要，由于容器技术将来将取代传统厂商Citrix、Microsoft和VMware的虚拟机技术。

Linux容器，它依赖于操做系统级的虚拟化，对比虚拟机有着诸多优点，可是让大企业相信基于开源的容器技术和虚拟化技术同样安全可靠，这是Docker公司目前面临的最大挑战，也是Docker必须面对的，因此安全一直是一件极其重要的事情。

根据Docker公司的声明， Content Trust是这样运行的：

Docker Content Trust有两个不一样的key，一个Offline key（root）和一个Tagging key（per-repository），它们在publisher第一次push an imags时候在客户端生成和存储。每一个版本库都有其本身独特的tagging key，它容许持有人为特定版本库进行数字签名Docker image。tagging key随时被使用来new content的添加和删除。由于tagging key是在线的，很容易被compromised。使用Docker Content Trust，publisher使用offline key将可以安全的rotate compromised keys，它能够安全地离线存储。

Docker Content Trust同时还产生一个Timestamp key，来防止replay attacks。Docker为你管理Timestamp key，减小不断刷新内容客户端的麻烦。

本文由张鹏程编译整理，原文连接：http://blog.tenxcloud.com/?p=375