Переход с Docker Content Trust на нотарийный проект

Реестр контейнеров Azure отменит доверие содержимого Docker (DCT) 31 марта 2028 г. Чтобы помочь в этом переходе, эта статья содержит рекомендации по отключению DCT и внедрению нотаричного проекта для подписывания и проверки образов контейнеров.

Устаревание DCT

DCT позволяет издателям образов подписывать образы и дают возможность потребителям изображений проверять подпись на образы. Благодаря усовершенствованиям технологий DCT больше не соответствует требованиям современной безопасности цепочки поставок для контейнеров. В результате отмена DCT началась 31 марта 2025 года. DCT будет полностью удален из реестра контейнеров Azure 31 марта 2028 г.

В качестве альтернативы DCT корпорация Майкрософт предлагает решения для подписывания и проверки на основе нотаричного проекта. Нотарийный проект — это набор спецификаций и инструментов, которые предоставляют кроссиндустрионные стандарты для защиты цепочек поставок программного обеспечения с помощью подлинных образов контейнеров и других артефактов Open Container Initiative (OCI).

Нотация, средство из нотаричного проекта, реализует спецификации нотаричного проекта. Он включает интерфейс командной строки (CLI) и библиотеки для подписывания и проверки образов контейнеров и артефактов. Преимущества использования решений нотаричного проекта для обеспечения целостности и подлинности образов контейнеров:

  • Переносимость и взаимодействие: подписи нотарного проекта соответствуют стандартам OCI и могут храниться в реестрах, совместимых с OCI, таких как Реестр контейнеров. Эти возможности упрощают переносимость подписей и взаимодействие между облачными средами.
  • Безопасное управление ключами. Azure Key Vault можно использовать для управления ключами подписывания и сертификатами.
  • Интеграция с конвейерами непрерывной интеграции и непрерывной доставки (CI/CD): внедрение подписания в конвейеры CI/CD, включая рабочие процессы Azure DevOps и GitHub.
  • Комплексная проверка. Проверка образов контейнеров в конвейерах CI/CD (например, в рабочих процессах Azure DevOps и GitHub) и в службе Azure Kubernetes (AKS) для предотвращения использования и развертывания ненадежных образов.

Отключение DCT

Прежде чем перейти к решениям проекта Notation, необходимо отключить DCT. Используйте любой из следующих методов:

  • Отключите DCT из оболочки, установив для переменной DOCKER_CONTENT_TRUST среды значение 0. Например, в оболочке Bash используйте следующую команду:

    export DOCKER_CONTENT_TRUST=0
    

    Кроме того, можно отменить настройку переменной среды:

    unset DOCKER_CONTENT_TRUST
    
  • Отключите DCT на портале Azure. Перейдите в реестр, а затем в разделе Политики выберите Доверие к содержимому>Отключено>Сохранить.

  • Отключите DCT с помощью Azure CLI:

    az acr config content-trust update -r myregistry --status disabled
    

Используйте Notary Project для подписывания и проверки образов контейнеров

После отключения DCT можно подписать и проверить образы контейнеров с помощью Notary Project. Чтобы приступить к работе, используйте следующие ссылки.

Подпишите образы контейнеров

Проверьте образы контейнеров: