开放容器计划能否改善容器安全性？

最近Docker和CoreOS联手打造一个新的Linux基金项目叫做开放容器计划（Open Container Project）。何谓开放容器计划？他如何改善软件容器的安全性？

Dan Sullivan：开放容器计划，也被称为开放容器倡议，意在创建一个标准的容器显像模式和运行引擎。该项目由Linux基金会组织并赞助。尽管Docker已经有一个成形的标准了，Linux软件商CoreOS的相应的叫做rkt的标准与Docker不同，将容器行业分裂开来。

很难想象在软件堆栈这个关键层面上有如此区分的软件开发者们能够获取竞争优势，事实上，这很可能阻碍其发展并带来不必要的跨平台问题。主流的软件服务提供商，包括谷歌、红帽、Oracle、Suse以及VMware也加入进来，与Docker、CoreOS和Linux基金会共建开放容器计划。

该项目最重要的使命之一就是开发一个安全的容器标准。这包括保护程序孤岛以及容器中的资源。标准还包括对强加密原语、应用程序识别服务以及图像审计功能的支持。

项目成员计划创造一个简约的标准，在没有解决支持工具的情况下确保容器安全，如云服务或运行的集群。CoreOS构建rkt，某种程度上是因为Docker计划扩大了范围，超过了容器标准初始关注点。也有人担心是否需要从根上运行Docker。

该计划构建安全的容器映像将会间接地改善安全。例如，团队可以合理分配时间来强化应用程序图像，如果其将被重复使用的话。容器支持自动部署，有助于减少手动配置错误的风险。此外，自动化脚本可以审查以确保部署了恰当的安全控制。多种容器标准也不会泯灭这些好处，不过需要额外的精力和资源用以维护就是了。