Cloud Native Computing Foundation于10月24日宣布,将通过添加Notary容器信任项目和Update Framework安全措施来扩展其项目清单。
Notary项目最初是由Docker开发的,并提供了一个内容签名框架来帮助验证容器应用程序映像的加密完整性。公证人使用更新框架(TUF),这是用于启用安全软件更新的规范。
自2015年7月创建以来,CNCF的第 13 和第 14 个项目是新添加的。开源Kubernetes容器编排项目是其第一个托管项目。这两个新项目是在CNCF 9月13日宣布加入Envoy和Jaeger项目之后发布的。
CNCF项目提案指出:“公证人是使用Go语言实现TUF规范的内容签名框架。” “该项目同时提供了一个客户端和一对服务器应用程序,以承载已签名的元数据并执行有限的在线签名功能。这是Docker,Quay,VMware等公司使用的事实上的图像签名框架。
Docker创建者所罗门·海克斯(Solomon Hykes)最初在2014年的视频中与eWEEK 讨论了一个想法,即以某种形式的数字完整性保护容器虚拟化的需要。开源的Notary项目于2015年8月与Docker 1.8 .0 版本集成,功能名称为Docker Content Trust。公证人依靠TUF,这是一种软件开发和更新模型,联合创始人纽约大学助理教授Justin Cappos在4月的DockerCon 17会议上详细描述了TUF。
Cappos说:“如果浏览器中有绿色的HTTPS挂锁,则表明浏览器已与服务器建立安全连接。” “它没有说明服务器是否具有有效的更新或知道正确的更新是什么以及服务器本身是否受到威胁。”
Docker首先在6月20日的CNCF技术监督委员会会议上提议捐赠公证人。在同次会议上,Cappos提议TUF也成为CNCF项目。然而,只有在对GitHub以及各种邮件列表进行了数月的讨论和辩论之后,才将Notary和TUF添加到CNCF项目名册中。
一个项目必须满足多个要求才能被CNCF接受。其中最重要的是与CNCF的使云计算扩展的使命保持一致。
该提案指出:“公证是迄今为止更新框架最安全,使用最广泛的实施,并且是确保云原生计算领域中数据来源和完整性的关键组成部分。” “我们希望TUF规范能够被CNCF接受,因为它将明确说明社区对其软件分发渠道的安全性的重要性和期望。