サプライチェーンのセキュリティは、ここ数年で私たち全員にとってますます重要になっているものです。 世界中に商品を流通させるのに問題を抱えているグローバルサプライチェーンとほぼ同じくらい重要です! サプライチェーンを介した多くの攻撃がありました。 これは、使用しているソフトウェアの一部が侵害されたり、脆弱性が含まれていたりして、運用環境を危険にさらす場所です。
安全な サプライチェーンのベストプラクティス について書いています。 Dockerは、サプライチェーンにセキュリティを組み込むのを支援することに取り組んでおり、これを支援するためのツールをさらに開発しています。 Docker 公式 イメージや Docker 検証済み発行元 イメージなど、アプリケーションを構築するための信頼できる出発点として使用できる Docker の信頼できるコンテンツを提供しています。
また、サプライチェーンのセキュリティに関する多くのコミュニティプロジェクトにも深く関わってきました。 特に、Cloud Native Computing Foundation (CNCF) の Notary v2 プロジェクトに深く関わっています。 これについて最後に書いたのは1月です。 このプロジェクトは、Dockerが2015年に開始し、CNCFに寄付した元の公証人プロジェクトの次世代です。 Notary(単純化するために)は、誰かが作成した画像が使用しているものと同じであり、途中で改ざんされていないことを確認できるように、コンテナイメージに暗号化署名を追加するためのプロジェクトです。
何年にもわたって、それがどのように使用されているか、そしてより広い採用を妨げてきた問題について多くのことを学びました、そしてこれらはNotary v2の設計へのコミュニティフィードバックの一部です。 たとえば、プライベート オンプレミス レジストリからプルしたイメージが Docker Hub の Docker 公式イメージと同じであることを識別できるように、すべてのレジストリで使用でき、イメージを使用して署名をプッシュおよびプルできる署名フレームワークを構築しようとしています。 これは、コミュニティにとって重要であり、Notary v1が適切に対処しなかった多くのユースケースの1つです。 また、オプトイン署名を使用するのではなく、すべてのユーザーに対してデフォルトで署名チェックを有効にできるように、はるかに使いやすくしたいと考えています。
本日、プロジェクトはさらなる実験とフィードバックのために初期のアルファプロトタイプをリリースしました。 スティーブ・ラスカーは詳細をブログ 記事 に書いています。 デモを確認し、これらのワークフローがユースケースに適しているかどうか、またはどのように改善できるかについてフィードバックをお寄せください。
Docker のパブリック ロードマップで、製品のあらゆる側面に関するフィードバックをお寄せください。私たちは特に、サプライチェーンのセキュリティに関するフィードバックとあなたが見たいものに関心があります。最近、製品やツールをどこに持っていくかを考えるのに役立つ、本当に役立つフィードバックがたくさん寄せられています。
フィードバック
「公証人v0プロジェクトの更新」に関する2つの考え