InfoQ
·
Docker内容信任已停止,替代方案蓬勃发展
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
Docker宣布停止Docker内容信任(DCT),因使用率下降,建议用户转向Sigstore或Notation等替代方案。DCT通过数字签名确保容器镜像的可信性,但维护已停止,2025年8月8日起签名证书将过期,用户需关闭相关设置。新工具提供更好的签名和验证功能,支持多重签名,提升互操作性。
🎯
关键要点
- Docker宣布停止Docker内容信任(DCT),因使用率下降,建议用户转向Sigstore或Notation等替代方案。
- DCT通过数字签名确保容器镜像的可信性,但维护已停止,2025年8月8日起签名证书将过期,用户需关闭相关设置。
- DCT在2015年推出,使用The Update Framework (TUF)进行验证,已捐赠给云原生计算基金会作为孵化项目Notary。
- Docker表示,DCT的使用率显著下降,目前不到0.05%的Docker Hub镜像拉取使用DCT。
- DCT的上游Notary代码库不再积极维护,生态系统已转向更新的图像签名和验证工具。
- 替代DCT的工具包括Sigstore Cosign和Notary V2 (Notation),它们提供更好的签名和验证功能。
- Sigstore Cosign支持无密钥签名,简化了密钥管理,适合重视安全和透明软件更新的组织。
- Notary V2支持多重签名,允许组织添加审批链,但需要更复杂的设置,包括TLS证书和TUF密钥管理。
- 微软的Azure容器注册表团队提供了过渡时间表,2025年9月30日起新注册表无法启用DCT,2028年3月31日将永久删除所有DCT数据。
- DCT的设置需要完整的基础设施,包括Notary服务器、签名者、客户端和MySQL数据库,且在不同注册表之间移动镜像时签名数据会丢失。
- 现代替代方案通过改善互操作性、密钥管理和开发工作流集成来解决DCT的局限性。
- Docker计划使用现代工具为Docker官方镜像实施现代图像签名解决方案,具体细节尚未公布。
❓
延伸问答
Docker内容信任(DCT)为何停止维护?
DCT因使用率下降而停止维护,目前不到0.05%的Docker Hub镜像拉取使用DCT。
DCT的替代方案有哪些?
DCT的替代方案包括Sigstore Cosign和Notary V2 (Notation)。
Sigstore Cosign的主要特点是什么?
Sigstore Cosign支持无密钥签名,简化了密钥管理,适合重视安全和透明软件更新的组织。
Notary V2与DCT相比有什么优势?
Notary V2支持多重签名,允许组织添加审批链,而DCT仅支持单一签名。
DCT的过渡时间表是什么?
2025年9月30日起新注册表无法启用DCT,2028年3月31日将永久删除所有DCT数据。
DCT的设置需要哪些基础设施?
DCT的设置需要Notary服务器、签名者、客户端和MySQL数据库等完整基础设施。
➡️
