Od wczoraj trwa konferencja DockerCon EU 2015, podczas której można się dowiedzieć zarówno o nowościach, jak i obecnych technologiach, dostępnych w Dockerze. Jest to świetne miejsce dla administratorów, deweloperów, DevOpsów i wielu innych osób. Podczas dwugodzinnego otwarcia konferencji, założyciel Solomon Hykes opowiedział o bezpieczeństwie i przedstawił dwa nowe sposoby, na jego zwiększenie. Pierwszym z nich są klucze szyfrujące Yubico, podłączane do portu USB, których zadaniem jest cyfrowe podpisywanie oprogramowania. Całość została zintegrowana z wydaną trzy miesiące temu aktualizacją do frameworka The Update Framework o nazwie Docker Content Trust.
Docker Content Trust opiera się na podobnej zasadzie, co uwierzytelniania w protokole SSH. Na koncie dewelopera obrazów tworzone są dwa klucze: Offline i Tagging, podczas pierwszego wysyłania obrazów na serwery.
Każde repozytorium posiada swój unikalny klucz Tagging. Może on zostać wyeksportowany i współdzielony z użytkownikami/systemem, którzy potrzebują zdolności uwierzytelniania dla danego repozytorium.
Klucz Offline jest najważniejszy i jest tzw. potwierdzeniem autentyczności danego repozytorium. Różne repozytoria mogą posiada ten sam klucz Offline i jest on wymagany jedynie podczas tworzenia nowego repozytorium lub wymiany obecnych kluczy. Klucz należy trzymać w bezpiecznym miejscu. Podczas wykonywania komendy docker pull
, ustanawiane jest bezpieczne połączenie z danym repozytorium, przy wykorzystaniu klucza Offline.
Jak widzimy bezpieczeństwo jest nader wysokie i aby je jeszcze zwiększyć, stworzono sprzętowy klucz szyfrujący Yubico. Każdy uczestnik konferencji DockerCon EU 2015 otrzyma taki w prezencie.
Drugim projektem, który został zapoczątkowany w firmie Docker to narzędzie Nautilus. Jego zadaniem jest automatyczna analiza bezpieczeństwa wszystkich obrazów, przechowywanych w repozytorium Docker Hub. Przez ostatnie dwa miesiące wykorzystywano Nautilusa do skanowania i zabezpieczania 74 milionów pobrań obrazów, w ścisłej tajemnicy przed użytkownikami. Były to swojego rodzaju testy, które miały sprawdzić skuteczność nowego narzędzia. Od teraz jest ono dostępne publicznie, a w przyszłości każdy będzie mógł samodzielnie uruchomić je do przetestowania obrazów.