Bezpieczne udostępnianie danych uwierzytelniających rejestru Docker

Problem

Dane uwierzytelniające rejestru Docker przyznają dostęp do pobierania i wypychania obrazów kontenerów, w tym zastrzeżonego kodu aplikacji i wewnętrznych narzędzi. Udostępnianie tokenów rejestru w Slacku lub e-mailach odsłania cały łańcuch dostaw kontenerów. Skompromitowany dostęp do rejestru może prowadzić do zmodyfikowanych obrazów, wstrzykniętego złośliwego oprogramowania i ataków na łańcuch dostaw.

Jak Vaulted pomaga

Vaulted szyfruje dane uwierzytelniające rejestru Docker w przeglądarce za pomocą AES-256-GCM i generuje samozniszczający się link. Klucz deszyfrowania istnieje tylko we fragmencie URL i nigdy nie trafia na żaden serwer. Po pobraniu danych uwierzytelniających przez odbiorcę link trwale wygasa.

Jak to zrobić

1. Wklej token rejestru Docker lub dane logowania do Vaulted
2. Ustaw limit wyświetleń i czas wygaśnięcia odpowiedni do wielkości zespołu
3. Udostępnij zaszyfrowany link inżynierowi konfigurującemu dostęp do kontenerów
4. Odbiorca konfiguruje klienta Docker, a link niszczy się

Udostępnianie danych uwierzytelniających Docker z terminala

Użyj Vaulted CLI, aby udostępniać dane uwierzytelniające rejestru w skryptach: npx vaulted-cli "registry.example.com:username:token" --views 1 --expires 1h. To samo szyfrowanie AES-256-GCM co w aplikacji webowej. Zainstaluj przez npm: npm install -g vaulted-cli.

Udostępnianie danych uwierzytelniających Docker w GitHub Actions

Zautomatyzuj udostępnianie danych uwierzytelniających w CI/CD za pomocą akcji Vaulted GitHub Action: uses: vaulted-fyi/share-secret@v1 z danymi uwierzytelniającymi rejestru Docker jako tajnym wejściem. Zaszyfrowane end-to-end, samozniszczające się linki. Dostępna w GitHub Marketplace.