Cloud Native Computing Foundation(CNCF)は、コンテナオーケストレーションツールKubernetesのホームとして知られているが、そのほかにもさまざまなオープンソースプロジェクトが身を寄せている。どれも、現代的なクラウドネイティブ関連のツールで、GoogleやMicrosoft、Facebookなどをはじめ、各社において、今ではそれらの利用が日常化している。
今日(米国時間10/23)はCNCFの厩(うまや)に、Docker生まれの2頭、NotaryとThe Update Framework(TUF)が入った。その最初の開発者はニューヨーク州立大学のJustin Cappos教授と、そのTandonエンジニアリングスクールのチームだ。二つは互いに関連していて、どんなコンテンツにも保護と安心の層を加えるNotaryは、TUFの実装なのだ。
これらの背後にある基本的な考え方は、単純にTLSプロトコルを使ってWebサーバーとクライアント間のコミュニケーションを保護するのでは不十分、サーバー自身がハックされることもある、という認識だ。たとえば、Dockerのコンテナを配布して、それらが安全であると保証したいなら、Notary/TUFのクライアント/サーバアプリケーションがメタデータの署名を扱うことによって、さらなる安心の層を加えるのだ。
“デベロッパーのワークフローの中で、セキュリティは後知恵になりがちだ。しかしそれでも、
デプロイされるコードはOSからアプリケーションに至るまですべての部分が署名されていなければならない。Notaryは強力な安心保証を確立して、ワークフローの過程中に悪質なコンテンツが注入されることを防ぐ”、とDockerのシニアソフトウェアエンジニアDavid Lawrenceは語る。“Notaryはコンテナの分野で広く使われている実装だ。それがCNCFに加わることによって、さらに広く採用され、さまざまな新しいユースケースが登場してきてほしい”。
たとえばDockerはこれを使って、そのDocker Content Trustシステムを実装しているし、LinuxKitはカーネルとシステムパッケージの配布に利用している。自動車業界も、TUFの別の実装であるUptane使って、車載コードの安全を図っている。
Notary/TUFについて詳しく知りたい方には、Dockerのドキュメンテーションが勉強の入り口として最適だろう。
“NotaryとTUFの仕様は、コンテンツのデリバリに関する、信頼性の高いクロスプラットホームなソリューションを提供することによって、コンテナを利用するエンタープライズの重要な課題に対応している”、とCNCFのCOO Chris Aniszczykが今日の発表声明に書いている。“これらのプロジェクトが一体的なコントリビューションとしてCNCFに加わることは、とても嬉しい。今後、これらを軸としてさまざまなコミュニティが育っていくことを、期待したい”。
Docker Platform(EnterpriseとCommunityの両エディション)や、Moby Project, Huawei, Motorola Solutions, VMWare, LinuxKit, Quay, KubernetesなどはすべてすでにNotary/TUFを統合しているから、CNCFのそのほかのツールとの相性の良いプロジェクトであることも確実だ。
NotaryとTUFが加わったことによって、CNCFを実家とするプロジェクトは計14になる。