【編者的話】本文是對11.16歐洲D(zhuǎn)ockerCon大會的簡短報道。重點在Docker容器安全領(lǐng)域的新特性，對于在生產(chǎn)環(huán)境中更安全使用Docker有很大的參考價值。

Docker 公司在巴塞羅那舉辦的 DockerCon Europe 大會上宣布三款安全工具以及容器的一些新特性。

這些工具在不影響開發(fā)者正常工作流的情況下，使開發(fā)者使用容器更加安全。它們包括：使用Yubico硬件密鑰、支持用戶名稱空間，這樣Docker容器就不再需要root權(quán)限連接了。這兩個新特性可以在Docker實驗版本頻道獲取。

Docker公司今天還宣布它們會定期掃描Docker Hub上的90多個官方倉庫，來檢查是否有潛在的漏洞，并且發(fā)布它們的掃描結(jié)果。

Docker創(chuàng)始人兼CTO Solomon Hykes在他的keynote中強調(diào)安全非常重要，但是人們往往在事后才注意到。“這些就像烘焙中需要在開始就備烘焙的食材”【譯者注：Solomon Hykes在這里以烤面包為例子，在開始就要先烤一些原料備用】。他指出：“你們需要在使用Docker初期就考慮好它的安全問題”。

作為Docker的產(chǎn)品總監(jiān)，Scott Johnston在本周早些就告訴我，Docker團(tuán)隊的目標(biāo)是改善Docker平臺同時確保使用Docker的開發(fā)者們不會去做一些“讓他們平時的工作流不自然的事情”(Hykes稱之為“美好而舒適的開發(fā)流”)。例如，新的硬件簽名特性，它是基于最近推出的新的Docker Content Trust框架，這個框架允許容器的數(shù)字簽名。

現(xiàn)在，擁有同樣是今天推出的YubiKey 4的開發(fā)者可以簽名他們的容器，確保他們的Apps在Docker整個開發(fā)流程中完整一致。Docker與Yubico合作建立了觸摸即簽名的編碼簽名系統(tǒng)使得開發(fā)人員能夠快速進(jìn)入Docker命令行。

正如Johnston強調(diào)的那樣，可信任的內(nèi)容在鏡像層又增加了安全層，但是開發(fā)者并不需要使用這一層。

當(dāng)人們談到容器和安全時，事實是Docker守護(hù)式進(jìn)程和容器需要root權(quán)限才能連接到宿主機(jī)上，而這長期以來一直被人們所詬病。Johnston也承認(rèn)這一點，他指出早期使用Docker也有好處因為它“促進(jìn)市場的發(fā)展”。但是隨著容器日益流行安全問題也日益凸顯。

在新的實驗版本中，管理員可以分離容器和Docker守護(hù)式進(jìn)程間的權(quán)限。Docker守護(hù)式進(jìn)程仍然需要root權(quán)限，容器不再需要。但是Docker公司指出，這一改進(jìn)使得運行中的Docker容器更加安全，例如，現(xiàn)在部門和團(tuán)隊可以獲得連接控制容器的權(quán)限了。

在很多情況下，容器的安全開始于運行在容器中的應(yīng)用。為了在此做些改進(jìn)，今天Docker公司宣布將開始掃描官方Docker Hub倉庫中的容器是否存在潛在的漏洞(Heartbleed就是一個很好的例子)。

如果這些你聽起來很熟悉的話，是因為你可能了解到CoreOS最近對它的注冊表中的容器做很類似的事情。就像CoreOS公司一樣，Docker將會發(fā)布容器的安全報告，就像Johnston對我說的那樣，這將協(xié)同上游的生態(tài)系統(tǒng)以保證這些問題盡快得以修復(fù)。

90個注冊Docker Trust的官方倉庫，大約占Docker Hub上所有下載鏡像數(shù)量的20%。今天Hykes指出，經(jīng)團(tuán)隊測試后，實際上這項服務(wù)已經(jīng)在靜靜地保護(hù)著這些版本庫兩個月了。該項計劃目的是要在未來拓展這個工具到所有的鏡像，包括私有的鏡像。

原文鏈接：http://dockone.io/article/833