Docker發布了其開源和商用容器平臺的更新版本，加入了新的安全特性以幫助保護特權訪問信息。

Docker正在推進其開源容器引擎，以及可支持商用的 Docker Datacenter 平臺，使其功能更強，對容器中秘密防護更有力。

容器應用環境中，秘密，指的是需要保護的訪問令牌、口令和其他特權訪問信息。Docker 1.13 版容器引擎于1月19日登臺亮相，主推在2月8日發布的 Docker 1.13.1 更新中進一步被夯實的新秘密管理功能。

另外，Docker還將該秘密管理功能引入到2月9日發布的基于 Docker 1.13.1 的 Docker Datacenter 新更新上。 Docker Datacenter 是Docker公司的旗艦商業平臺，于2016年2月首次發布。

Docker安全總監內森·麥考利稱：“作為平臺提供商，我們想要確保自己在幫助人們保護應用及其所用秘密的安全上表現良好。”

從部署的角度看，Docker引擎集群(swarm)中，只有簽名應用才可以訪問秘密。麥考利強調：同一基礎設施上運行的應用不應該知道相互的秘密，他們應該只知道自身被授權訪問的那些秘密。

開源 Docker 1.13.1 更新中的秘密管理功能，與 Docker Datacenter 提供功能里最主要的區別，在于額外的訪問控制。Docker swarm 在應用運行于集群上時對秘密的訪問設置了訪問控制。

Docker Datacenter 添加的，是為與系統互動的人類開發者和管理員準備的訪問控制。于是，你可以將秘密分發給團隊，該團隊就能分發秘密給他們自己的應用了。

Docker Datacenter 更新中基于角色的訪問控制(RBAC)，還可與現有的企業身份識別系統集成，包括微軟的活動目錄。

簡單的秘密存儲顯然不足以保證這些秘密信息的安全，因為其被某個應用泄露的潛在風險總是存在的。

“當秘密沒有實際存儲在應用本身的時候，應用才是更安全的。”麥考利解釋道。

為此，Docker加密了swarm中秘密存放地的后端存儲，所有到容器應用的秘密傳輸都發生在安全TLS隧道中。秘密只在內存中對應用可用，且不會再存儲到單個應用容器的存儲段。

為應用設置秘密管理功能的想法不算新鮮。開源Vault項目就是提供秘密管理的又一例子，2月2號發布的Aqua容器安全平臺 2.0 更新中也有集成。

“Vault實現了一個好系統，但沒有默認集成到容器管理平臺。”麥考利說道，“Docker的理念在于，你需要一個深度集成的秘密管理功能，來銜接開發者和運營工作流。”