Docker Content Trust (DCT) は、Update Framework (TUF) と Notary v1 プロジェクトを使用してコンテナーイメージの整合性とパブリッシャーを検証する方法として 10 年前に導入されました。ただし、上流の公証人コードベースはもはや積極的に維持されておらず、その後、エコシステムは画像の署名と検証のための新しいツールに移行しています。したがって、DCT の使用量は近年大幅に減少しています。今日は 0にもならない。Docker Hub イメージのプルの05% が DCT を使用しており、Microsoft は最近、Azure Container Registry での DCT サポートの非推奨を 発表 しました。その結果、Docker は Docker 公式イメージ (DOI) から始めて、DCT を廃止するプロセスを開始します。
Dockerは、コンテナエコシステムの信頼性を向上させることに取り組んでおり、近い将来、顧客が開始してセキュリティを維持できるように、広く使用されている最新のツールに基づくDOI用の別のイメージ署名ソリューションを実装する予定です。詳細については、このブログをご覧ください。
これがあなたにとって何を意味するか
Docker 公式イメージをプルする場合
2025年8月8日から、最も古いDOI DCT署名証明書の有効期限が切れ始めます。DOIで docker trust コマンドを使用すると、すでに有効期限の警告が表示され始めている可能性があります。これらの証明書は、Docker クライアントによってキャッシュされると、その後更新されないため、証明書のローテーションは実用的ではありません。DOCKER_CONTENT_TRUST環境変数をTrue(DOCKER_CONTENT_TRUST=1)に設定した場合、DOIプルは失敗し始めます。回避策は、 DOCKER_CONTENT_TRUST 環境変数の設定を解除することです。docker trust inspectの使用も失敗し始め、DOIには使用しないでください。
DCT を使用して Docker Hub でイメージを公開する場合
別の画像署名および検証ソリューション ( Sigstore や Notation など) への移行を計画する必要があります。Docker は、その取り組みを支援するために、移行ガイドを間もなく公開する予定です。DCT の完全な非推奨のタイムラインは最終決定中であり、まもなく公開される予定です。
セキュリティインフラストラクチャを最新化し、コンテナエコシステムの現在のベストプラクティスに合わせて、ご理解をお願いします。Dockerコミュニティの一員になっていただきありがとうございます。