Notary v2（のたりーつー）

Notary v2とは

Notary v2は、コンテナイメージのセキュリティを強化するためのツールです。コンテナイメージの脆弱性をスキャンし、デジタル署名を用いてイメージの整合性を検証することで、信頼できるソフトウェアサプライチェーンの構築に貢献します。

Notary v1との違い

Notary v2は、Notaryプロジェクトの初期バージョンであるNotary v1から大幅に改良されています。主な違いは以下の通りです。

• 署名方式の変更: Notary v1ではタイムスタンプ認証局(TSA)に依存していましたが、Notary v2ではTSAに依存しない署名方式を採用しています。
• メタデータの構造変更: Notary v2では、より柔軟で拡張性の高いメタデータ構造を採用しています。
• APIの改善: Notary v2では、より使いやすく、効率的なAPIを提供しています。

Notary v2の仕組み

Notary v2は、以下のステップでコンテナイメージのセキュリティを検証します。

1. イメージのハッシュ値の計算: コンテナイメージのハッシュ値を計算します。
2. 署名の生成: 計算されたハッシュ値を用いて、デジタル署名を生成します。
3. 署名の検証: 生成された署名とイメージのハッシュ値を検証することで、イメージの整合性を確認します。

Notary v2の利用例

Notary v2は、CI/CDパイプラインに組み込むことで、自動的にコンテナイメージのセキュリティを検証することができます。また、Kubernetesなどのコンテナオーケストレーションツールと連携することで、信頼できるイメージのみをデプロイすることができます。

関連情報

• Notaryプロジェクト: https://github.com/notaryproject/notary