Docker Content Trust: Ruhestand und Migrationsleitfaden

TL;DR

Docker Content Trust (DCT) und der Notary v1-Dienst werden vollständig eingestellt. Diese Entscheidung basiert auf der geringen Nutzung und der Abkehr von veralteten Technologien hin zu modernen, standardbasierten Signaturwerkzeugen. Nutzer, die DCT aktiv verwenden, sollten ihre Workflows anpassen und auf alternative Lösungen umsteigen.

Hauptinhalt

Docker Content Trust (DCT) wurde vor einem Jahrzehnt eingeführt, um die Integrität und den Publisher von Container–Images zu verifizieren. Es basierte auf The Update Framework und dem Notary v1-Projekt. Allerdings wird der Notary v1-Code nicht mehr gewartet, und die Nutzung von DCT ist in den letzten Jahren drastisch gesunken, da weniger als 0,05 % der Docker Hub-Pulls auf DCT zurückgreifen. Die Entscheidung zur vollständigen Stilllegung von DCT und dem Notary v1-Dienst wurde bereits im Juli 2025 angekündigt und wird nun umgesetzt.

Die Rücknahme von DCT erfolgt schrittweise, um den betroffenen Nutzern Zeit zu geben, ihre Systeme anzupassen. Die ersten Phasen beinhalten geplante Ausfallzeiten, in denen Schreiboperationen unterbrochen werden, gefolgt von Leseoperationen. Die vollständige Abschaltung ist für den 8. Dezember 2026 geplant.

Für die meisten Anwender, die DCT nicht aktiv nutzen, ändert sich nichts. DCT war eine optionale Funktion, und Standard-Image-Pulls berührten den Notary-Dienst nicht. Nutzer, die DCT konfiguriert haben, sollten sich jedoch mit den Änderungen vertraut machen. Dies betrifft insbesondere diejenigen, die Umgebungsvariablen wie DOCKER_CONTENT_TRUST=1 gesetzt haben, oder die Docker-Befehle wie docker trust sign oder docker trust inspect verwenden.

Technische Details/Implikationen

Die Entscheidung, DCT abzulehnen, ist Teil eines größeren Trends in der Container–Ökosystem, in dem standardisierte, OCI-native Signaturwerkzeuge wie Sigstore/Cosign und das Notary-Projekt Notation bevorzugt werden. Diese modernen Tools ermöglichen es, Signaturen direkt neben den Images in kompatiblen Registries zu speichern, ohne eine separate Vertrauensinfrastruktur zu benötigen. Diese Entwicklung wird von großen Anbietern unterstützt, die bereits die Unterstützung für DCT eingestellt haben, wie Microsoft im Azure Container Registry und Harbor.

Nutzer, die von der DCT-Rücknahme betroffen sind, sollten folgende Schritte in Betracht ziehen:

1. Deaktivierung von DCT: Um sicherzustellen, dass Image-Pulls weiterhin funktionieren, sollte DCT deaktiviert werden. Dies kann durch das Setzen der Umgebungsvariable DOCKER_CONTENT_TRUST=0 erfolgen.
2. Verwendung von Image-Digests: Anstelle von Tags, die sich ändern können, sollten Nutzer Image-Digests verwenden, um die Konsistenz der abgerufenen Inhalte zu gewährleisten. Dies stellt sicher, dass die exakte Version des Images abgerufen wird.

Fazit/Ausblick

Die vollständige Stilllegung von Docker Content Trust markiert einen wichtigen Schritt in der Weiterentwicklung der Container-Sicherheitspraktiken. Nutzer sollten die Gelegenheit nutzen, um auf modernere, standardisierte Tools umzusteigen, um ihre Workflows zukunftssicher zu gestalten.