10月24日,Docker安全工程师Riyaz Faizullabhoy在欧洲开源峰会上宣布,云原生基金会(CNCF)技术监督委员会(TOC)已将Notary和TUF纳为第13个和第14个托管项目。


CNCF首席运营官Chris Aniszczyk表示:“对于每个向CNCF提交的项目,TOC都将评估该项目对云原生生态系统的价值。Notary和TUF规范通过为受信任的、跨平台的内容交付提供解决方案,解决了企业容器应用的一个关键挑战。我们很高兴这些项目加入CNCF的集体贡献中,并期待着培养他们的社区。“


基于更新框架(TUF)规范的Notary


Docker平台(企业版和社区版),Moby项目,华为,摩托罗拉解决方案,VMWare,LinuxKit,Quay和Kubernetes都集成了Notary/ TUF。


Notary 最初由Docker在2015年6月创建,它基于更新框架(TUF)规范,这是一个用于软件分发和更新问题的安全通用设计。 TUF帮助开发人员保护新的或现有的软件更新系统,这些系统通常被认为易受许多已知攻击的破坏。 TUF通过提供全面,灵活的安全框架来解决这个广泛存在的问题,该框架支持与任何软件更新系统集成。


Notary是TUF规范行业最成熟的实施之一,它的Go实现如今用于为容器映像更新提供强大的安全性,即使面对注册表泄密这样的问题也能轻松应对。 Notary负责创建,管理和分发所需的元数据,以确保用户内容的完整性和新鲜度。 Notary/ TUF提供客户端和一对服务器应用程序,来托管签名的元数据并执行有限的在线签名功能。


这两个容器安全项目 终于被CNCF收编!_javaNotary 也开始在容器生态系统之外获得牵引力,像Kolide这样的平台使用公Notary,通过自动更新来确保渗透剂的分配。


Docker高级软件工程师David Lawrence说:“在开发人员的工作流程中,安全性通常可能是事后的想法;然而,从OS到应用程序的每个部署的代码都应该被签名。Notary建立了强有力的信任保证,以防止恶意内容被注入到工作流程中。Notary在容器空间中已经广泛使用, 通过加入CNCF,我们希望Notary得到更广泛的采用,各种各样的用例都将会出现。“


Notary用例:


  • Docker使用Notary来实现Docker Content Trust和所有docker信任子命令。

  • Quay正在使用Notary作为库,将其包装并扩展以适应他们的需要。 对于Quay,Notary是灵活而不是单一目的的应用。

  • CloudFlare的PAL工具使用Notary的容器身份,允许人们以可验证的方式将元数据(如密钥)与运行的容器相关联。

  • LinuxKit使用Notary分发其内核和系统包。


Notary里程碑:


  • 865 GitHub stars

  • 45 contributors

  • 8 maintainers(来自Docker, CoreOS, Huawei

  • 2600+ commits, 34 releases


TUF


TUF(更新框架)是由Justin Cappos教授于2009年撰写的开放源代码规范,由来自纽约大学Tandon工学院的Cappos教授安全系统实验室的成员进一步发展。


TUF旨在作为更大的软件分发框架的一部分,提供对密钥或服务器妥协的恢复能力。使用各种加密密钥进行内容签名和验证,TUF支持与各种不同类型的攻击保持相同强度的安全性。


TUF用于Docker,LEAP,App Container,Flynn,OTAInfo,ATS Solutions和VMware的生产环境。


Cappos教授谈到:“除了专注于安全性,我们的主要目标之一是在已经在其存储库中使用的工作流程中安全地运行。 通过与Docker,CoreOS,OCaml,Python,Rust和汽车厂商合作,我们有了大量的经验,能够调整TUF在其环境中工作的更好。"


TUF具有包括容器在内的各种用例。例如,汽车行业中的几家不同的公司已经集成了一个称为Uptane的TUF变体,并且正在进行更多的整合。因此,Uptane最近被评为Top100年度最佳技术之一。不同编程语言软件仓库也采用了该技术,包括Python(PEP 458和480)的标准化。 TUF也经过多个组织的安全审计。


TUF里程碑:


  • 自2010年开源

  • 517 GitHub stars, 74 forks

  • 27+ contributors(来自 CoreOS, Docker, OCaml, Python, Rust (ATS Solutions) and Tor

  • 2700+ commits