探索 `contained.af`: 安全容器化应用的新视角

探索 contained.af: 安全容器化应用的新视角

contained.afA stupid game for learning about containers, capabilities, and syscalls.项目地址:https://gitcode.com/gh_mirrors/co/contained.af

项目简介

contained.af 是一个由 Genuinely Tools 开发的开源项目，旨在提供一种简单、安全的方式来运行和管理容器。通过其精巧的设计和强大的功能，它可以帮助开发者更好地控制和保护他们的容器化应用程序，确保它们在预定的安全边界内运行。

项目的官方仓库位于 ：

.af

技术分析

contained.af 的核心在于它的 bless 工具，这是一个用于验证 Docker 镜像签名的工具，以确保它们未被篡改。它是基于 cosign，一个由 Google 和 Sigstore 社区开发的项目，旨在为云原生世界提供可信的身份验证和签名。

该项目包含以下主要组件：

1. bless - 验证镜像签名，并生成一个证明文件（proof file），使得只有经过验证的镜像才能在 Kubernetes 环境中运行。
2. enforce - 一个 Kubernetes admission controller，检查每个 Pod 请求，只允许那些附带有有效证明文件的镜像启动。
3. prove - 用于创建和更新证明文件的工具，方便开发者管理和维护他们的镜像签名状态。

此外，contained.af 还利用了 cosign 提供的可插拔签名模型，支持多种签名方案，如 SigStore 的 Rekor 公开透明日志或 AWS CodeSign。

应用场景

contained.af 可广泛应用于需要强化容器安全性的环境，例如：

• 企业内部：在企业内部部署时，可以限制未授权的镜像运行，提高安全性。
• 云服务提供商：云服务商可以利用此项目来提供更安全的服务，确保客户应用仅使用已验证的镜像。
• 开源软件项目：开源项目可以通过签名并验证其依赖的镜像，增强社区对代码的信任度。

特点与优势

• 易于集成：contained.af 可轻松地与现有的 Kubernetes 基础设施集成，无需大规模重构。
• 强验证：采用 cosign 技术，提供了对容器镜像的严格身份验证和完整性检查。
• 灵活性：支持不同的签名方法，适应不同组织的策略和需求。
• 自动化：通过 enforce 自动执行镜像验证，减少人工干预，降低错误可能性。

结语

contained.af 以其简洁的设计和实用的功能，成为了容器安全领域的一个强大工具。如果你正在寻找一个能帮助你提升容器安全性的解决方案，那么这个项目绝对值得尝试。无论是新手还是经验丰富的开发者，都可以从中受益，为你的容器化旅程增添一份安全保障。现在就访问 并开始探索吧！

contained.afA stupid game for learning about containers, capabilities, and syscalls.项目地址:https://gitcode.com/gh_mirrors/co/contained.af