推進 Docker 安全:Docker 1.4.0 和 1.3.3 發布
【編者的話】Docker 1.4如期而至,正如DockerCon上Solomon所說,該版本主要集中在Bug修復以及平臺穩定性和安全性上。Docker官方新聞詳細描述了該版本的改進信息,本文是DockerOne對官方新聞的翻譯。
我們非常高興的宣布在今天發布 Docker Engine 1.4。它有什么特性呢?正如上周 Solomon Hykes 在
DockerCon Europe 描述的那樣,這個版本主要集中在Bug 修復和平臺穩定性上,且超過 180 個Bug修復提交被合并!Docker
1.4 也添加了 Overlay Filesystem,作為一個新的試驗性的存儲引擎。(請看發行說明和 bump 分支)。
今天,我們同時發行了 Docker Engine 1.3.3,修復了 3 個Bug(請看報告)。當然在版本 1.4.0 中也包含這些改進。這里是關于這些Bug的詳細信息:
- 在 2014 年 11 月 24 日,我們發行了 Docker 1.3.2 來修復這些嚴重的問題(issues ),惡意的鏡像可以利用該問題來突破 Docker 容器。請看我們的安全公告獲取更多信息。
- 在發行 1.3.2 之后,我們發現額外的Bug能被惡意的 Dockerfile、鏡像、registry利用來攻陷主機,或者是假冒官方鏡像。
- Docker Engine 1.3.3 和 Docker Engine 1.4將會修復以上Bug。所有的用戶建議升級到 Docker Engine 1.3.3 或更高的版本。請看升級說明文檔。
- 請注意這些缺陷僅僅影響那些下載和運行了惡意鏡像,或者是從惡意 Dockerfiles 構建的鏡像的用戶。用戶可以通過僅僅從受信任的源下載、構建、運行鏡像來免遭惡意內容的傷害。另外,我們建議你:
- 使用 AppArmor 和 SELinux 來運行 Docker Engine 來提供額外的隔離
- 映射相互信任的容器組來隔離機器和 VMs。 </ul> </li> </ul>
- 當確定漏洞時,努力迅速解決。
- 我們的用戶和他們的應用通過我們的發展藍圖來加強平臺安全。
- 與我們的貢獻者和生態系統合作伙伴合作來定義一系列關于 Docker 安全的最佳實踐 </ul>
- 產品和生態系統。 Docker Engine可以充分利用OS的安全策略以及隔離特性。在 Linux 的 namespaces、capabilities和基于 libcontainer 或 lxc 實現的 cgroups 支持下,這是可插拔式的。在將來,我們會給第三方的執行引擎插件更多的機會,希望它們可以為用戶提供更加細粒度服務。在系統級別的支持下,Docker 已經合并集成了 SELinux 和 AppArmor。Red Hat、Canonical以及其它公司都在幫助我們提高容器的安全性。從 1.3 版本開始,我們已經在 Docker Hub 的官放倉庫中添加了簽名的 Docker 鏡像,這只是我們規劃的安全鏈上的第一步。你可以在這詳細閱讀我們的信任制度建議并鼓勵你添加改進。
- 安全審計、報告和響應。 我們會做自己的安全測試,同時讓一個私人安全公司來審計和執行滲透測試。Issues 也被我們的活躍用戶和開發者社區接收。所有的問題報告都會被迅速分類,嚴重的 issues 會啟動一個 immediate 響應。我們的目標是快速并安全的修復在用戶手中的當前穩定版本。修復,一旦準備好,會開始發送一個早期的公開通知列表來 review 和為供應商準備提前公開。這個列表包含 Linux 發行版和云服務商。我們繼續開發和更新我們的實踐,當我們學習到更多。
- 公開透明。我們踐行有責任的披露。在不影響用戶的前提下,在不影響用戶的前提下,我們披露Docker的安全問題并及時提供相應的安全更新。 </ol>
推進 Docker 安全
下面是我們的安全公告和隨后的 Docker Engine 1.3.3 發行版。我想分享一些我們關于安全的想法和計劃。對于 Docker 來說,安全是非常重要的,直接體現就是:
具體地說,我們努力專注于以下事情:
隨著我們的發展,我們將持續在我們的安全團隊、貢獻、工具和流程上投入。該投入將使得 Docker 更安全,幫助它成為我們安全可信的伙伴。
來自:http://dockerone.com/article/45本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!