به روز رسانی پروژه Notary v2

امنیت زنجیره تامین چیزی است که در چند سال اخیر برای همه ما اهمیت فزاینده ای داشته است. تقریباً به اندازه زنجیره های تأمین جهانی که در توزیع کالا در سراسر جهان مشکل دارند، مهم است! حملات زیادی از طریق زنجیره تامین صورت گرفته است. اینجاست که معلوم می‌شود برخی از نرم‌افزارهایی که استفاده می‌کنید به خطر افتاده یا حاوی آسیب‌پذیری‌هایی هستند که به نوبه خود محیط تولید شما را به خطر می‌اندازند.

ما در مورد بهترین شیوه‌های زنجیره تأمین امن نوشته‌ایم. Docker متعهد است که به شما در ایجاد امنیت در زنجیره تامین خود کمک کند، و ما در حال کار بر روی ابزارهای بیشتری برای کمک به شما در این زمینه هستیم. ما محتوای معتمد Docker، از جمله تصاویر رسمی Docker و تصاویر ناشر تأییدشده Docker را برای شما ارائه می‌کنیم تا از آن به عنوان یک نقطه شروع مطمئن برای ساخت برنامه‌های خود استفاده کنید.

ما همچنین به‌شدت با پروژه‌های اجتماعی زیادی در مورد امنیت زنجیره تأمین درگیر بوده‌ایم. به طور خاص، ما به شدت درگیر پروژه Notary v2 در بنیاد محاسبات بومی ابری (CNCF) هستیم. آخرین بار در ژانویه در این مورد نوشتیم. این پروژه نسل بعدی پروژه اصلی دفتر اسناد رسمی است که داکر در سال 2015 شروع کرد و سپس به CNCF اهدا کرد. دفتر اسناد رسمی (برای ساده کردن!) پروژه ای برای اضافه کردن امضاهای رمزنگاری به تصاویر کانتینر است تا بتوانید مطمئن شوید که تصویری که شخصی تولید کرده است همان تصویری است که شما استفاده می کنید و در راه دستکاری نشده است.

در طول سال‌ها، ما چیزهای زیادی در مورد نحوه استفاده از آن و مشکلاتی که مانع پذیرش گسترده‌تر شده است، آموخته‌ایم، و اینها بخشی از بازخورد جامعه به طراحی Notary v2 است. ما به دنبال ایجاد یک چارچوب امضایی هستیم که می تواند در هر رجیستری استفاده شود، و در آن امضاها را می توان با تصاویر فشار داد و کشید تا بتوانید تشخیص دهید که تصویری که از رجیستری خصوصی خود می گیرید با Docker Official یکسان است. برای مثال، تصویر در داکر هاب. این یکی از موارد استفاده متعددی است که برای جامعه مهم است و Notary v1 به اندازه کافی به آن رسیدگی نکرده است. ما همچنین می‌خواهیم استفاده از آن را بسیار ساده‌تر کنیم، بنابراین می‌توانیم به‌طور پیش‌فرض برای همه کاربران، به‌جای داشتن امضای شرکت‌کننده، بررسی‌های امضا را انجام دهیم.

امروز این پروژه یک نمونه اولیه آلفای اولیه را برای آزمایش‌های بیشتر و برای شما منتشر کرده است. بازخورد. استیو لاسکر یک پست وبلاگی با جزئیات نوشته است. نسخه‌های نمایشی را بررسی کنید و لطفاً درباره اینکه آیا این گردش‌های کاری متناسب با موارد استفاده شما هستند یا خیر، یا اینکه چگونه می‌توانیم آنها را بهبود ببخشیم، بازخورد بدهید. ما به ویژه به بازخورد شما در مورد امنیت زنجیره تامین و آنچه که دوست دارید ببینید علاقه مندیم. اخیراً بازخوردهای بسیار مفیدی داشته ایم که به ما کمک می کنند تا بفهمیم محصولات و ابزارهایمان را کجا ببریم. تکنولوژی، NetBSD، unikernels، work @docker

پست های دیگر توسط جاستین کورمک