Partilhar via

Transição do Docker Content Trust para o Projeto Notarial

O Azure Container Registry desativará o Docker Content Trust em 31 de março de 2028. Para ajudar nessa transição, estamos fornecendo orientações sobre como desabilitar a confiança de conteúdo do Docker e adotar o Projeto Notarial para assinar e verificar imagens de contêiner.

Descontinuação da confiança de conteúdo do Docker

O Docker Content Trust permite que os editores de imagens assinem suas imagens e os consumidores de imagens verifiquem se as imagens que extraem estão assinadas. Com os avanços na tecnologia, o Docker Content Trust não atende mais aos requisitos da segurança moderna da cadeia de suprimentos para contêineres. Como resultado, o Docker Content Trust será preterido a partir de 31 de março de 2025 e completamente removido do Azure Container Registry (ACR) em 31 de março de 2028.

Em vez de usar o Docker Content Trust, a Microsoft oferece soluções de assinatura e verificação baseadas no Notary Project. O Notary Project é um conjunto de especificações e ferramentas destinadas a fornecer um padrão intersetorial para proteger cadeias de suprimento de software usando imagens de contêiner autênticas e outros artefatos OCI. Notation, uma ferramenta do Notary Project, implementa as especificações do Notary Project e inclui CLI e bibliotecas para assinar e verificar imagens de contêiner e artefatos. Os benefícios de usar as soluções do Notary Project para garantir a integridade e autenticidade das imagens de contêiner incluem:

  • Portabilidade e interoperabilidade: As assinaturas do projeto notarial aderem aos padrões da Open Container Initiative (OCI) e podem ser armazenadas em registros compatíveis com OCI, como o ACR, facilitando a portabilidade e a interoperabilidade de assinaturas em diferentes ambientes de nuvem.
  • Gerenciamento seguro de chaves: gerencie suas chaves de assinatura e certificados com segurança com o Azure Key Vault (AKV). Mais opções de Sistema de Gerenciamento de Chaves (KMS) estarão disponíveis em breve.
  • Integração de pipeline de CI/CD: implemente a assinatura em seus pipelines de CI/CD, incluindo fluxos de trabalho do Azure DevOps (ADO) e do GitHub. Mais opções de integração de CI/CD estarão disponíveis em breve.
  • Verificação abrangente: verifique imagens de contêiner em seus pipelines de CI/CD, como fluxos de trabalho ADO e GitHub, e no Serviço Kubernetes do Azure (AKS) para impedir o uso e a implantação de imagens não confiáveis.

Desativar a confiança de conteúdo do Docker

Antes de fazer a transição para as soluções do Projeto de Notação, é necessário desabilitar a Confiança de Conteúdo do Docker. Use qualquer um dos seguintes métodos para desabilitar a confiança de conteúdo do Docker:

  • Desative a confiança de conteúdo do Docker do shell definindo a DOCKER_CONTENT_TRUST variável de ambiente como 0. Por exemplo, na shell do Bash:

    export DOCKER_CONTENT_TRUST=0

    Como alternativa, você pode desdefinir a variável de ambiente:

    unset DOCKER_CONTENT_TRUST

  • Desative a Confiança de Conteúdo do Docker no portal do Azure. Navegue até o Registro no portal do Azure. Em Políticas, selecione Confiança no Conteúdo, escolha Desativado e selecione Salvar.

  • Desabilite a Confiança de Conteúdo do Docker usando a CLI do Azure:

    az acr config content-trust update -r myregistry --status disabled

Usar o Projeto Notarial para assinar e verificar imagens de contêiner

Depois de desabilitar o Docker Content Trust, você pode assinar e verificar imagens de contêiner com o Notary Project. Para começar, utilize as seguintes referências.

Assinar imagens de contentores:

Verificar imagens de contentores:

Conteúdo relacionado