Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Container Registry retirará Docker Content Trust (DCT) el 31 de marzo de 2028. Para ayudar con esta transición, en este artículo se proporcionan instrucciones sobre cómo deshabilitar DCT y adoptar Notary Project para firmar y verificar imágenes de contenedor.
Desuso de DCT
DCT permite a los editores de imágenes firmar sus imágenes y permite a los consumidores de imágenes comprobar que las imágenes que extraen están firmadas. Con los avances en la tecnología, DCT ya no cumple los requisitos de seguridad moderna de la cadena de suministro para los contenedores. Como resultado, la desaprobación de DCT comenzó el 31 de marzo de 2025. DCT se quitará completamente de Azure Container Registry el 31 de marzo de 2028.
Como alternativa a DCT, Microsoft ofrece soluciones de firma y verificación basadas en El proyecto notario. Notary Project es un conjunto de especificaciones y herramientas que proporcionan un estándar entre sectores para proteger las cadenas de suministro de software mediante imágenes de contenedor auténticas y otros artefactos de Open Container Initiative (OCI).
Notación, una herramienta del Proyecto Notario, implementa las especificaciones del Proyecto Notario. Incluye una interfaz de línea de comandos (CLI) y bibliotecas para firmar y comprobar imágenes y artefactos de contenedor. Entre las ventajas de usar las soluciones de Notary Project para garantizar la integridad y la autenticidad de las imágenes de contenedor se incluyen:
- Portabilidad e interoperabilidad: las firmas del proyecto notario cumplen los estándares de OCI y se pueden almacenar en registros compatibles con OCI, como Container Registry. Estas funcionalidades facilitan la portabilidad e interoperabilidad de firmas en entornos en la nube.
- Administración segura de claves: puede usar Azure Key Vault para administrar las claves de firma y los certificados.
- Integración con canalizaciones de integración continua y entrega continua (CI/CD): implemente el inicio de sesión en las canalizaciones de CI/CD, incluidos los flujos de trabajo de Azure DevOps y GitHub.
- Comprobación completa: compruebe las imágenes de contenedor dentro de las canalizaciones de CI/CD (como flujos de trabajo de Azure DevOps y GitHub) y en Azure Kubernetes Service (AKS) para evitar el uso e implementación de imágenes que no son de confianza.
Deshabilitar DCT
Antes de poder realizar la transición a las soluciones del proyecto de Notación, debe deshabilitar DCT. Use cualquiera de los métodos siguientes:
Deshabilite DCT desde el shell estableciendo la
DOCKER_CONTENT_TRUSTvariable de entorno en0. Por ejemplo, en el shell de Bash, use este comando:export DOCKER_CONTENT_TRUST=0Como alternativa, puede anular la variable de entorno:
unset DOCKER_CONTENT_TRUSTDeshabilite DCT desde Azure Portal. Vaya al Registro y, a continuación, en Directivas, seleccione Confianza de contenido>Deshabilitada>. Guardar.
Deshabilite DCT mediante la CLI de Azure:
az acr config content-trust update -r myregistry --status disabled
Uso de Notary Project para firmar y comprobar imágenes de contenedor
Después de deshabilitar DCT, puede firmar y verificar imágenes de contenedor con Notary Project. Use las siguientes referencias para empezar.
Firmar imágenes de contenedor:
- Para usar Key Vault con certificados autofirmados, consulte Firmar imágenes de contenedor mediante notación, Azure Key Vault y un certificado autofirmado.
- Para usar Key Vault con certificados emitidos por una entidad de certificación (CA), consulte Firmar imágenes de contenedor utilizando Notation, Azure Key Vault y un certificado emitido por CA.
- Para iniciar sesión en canalizaciones de Azure DevOps, consulte Firma y comprobación de una imagen de contenedor mediante notación en una canalización de Azure.
- Para iniciar sesión en flujos de trabajo de GitHub, consulte Firmar una imagen de contenedor mediante notación en Acciones de GitHub.
Verifique las imágenes de contenedor:
- Para verificar en las canalizaciones de Azure DevOps, consulte Firmar y verificar una imagen de contenedor utilizando Notation en una canalización de Azure.
- Para comprobar en flujos de trabajo de GitHub, consulte Comprobación de una imagen de contenedor mediante notación en Acciones de GitHub.
- Para verificar en AKS, consulte Comprobación de las firmas de imagen de contenedor mediante Ratify y Azure Policy.