通常，新技术都会引发安全顾虑。然而，有两份报告都宣称，在容器内运行应用程序比在容器外更安全。

 

任何新技术进入人们视线的时候，安全问题通常都是人们接纳的障碍。但是，对于Docker容器，有2家公司就认为，安全应该是促使人们采纳这一技术的驱动力。

分析公司Gartner和网络安全专家 NCC Group 发布了研究报告，详细说明容器安全现状。Docker公司安全总监内森·麦考利说：“重点在于，Gartner认为应用程序在Docker容器内运行更安全，并且将这一观点推送给了他们的企业用户。再结合上 NCC Group 确认Docker在容器安全领域领袖地位的报告，就更具重磅意义了。”

Gartner分析师乔戈·弗里奇写道，部署在容器里的应用程序，实际上比直接运行在裸机操作系统上要更安全，因为“应用程序和用户都被隔离在一个个容器中了，这样他们就不能感染其他容器或宿主操作系统了。”

NCC Group 的报告宣称，“从安全角度，容器创建了减小攻击界面和隔离应用程序到仅包含所需组件、接口、库和网络连接的最小环境的方法。”

麦考利在8月23号发布了一篇博文，里面的一张图表列出了Docker具备的一些关键安全特性，以及与其他容器选项的对比。这些特性中有个名为seccomp滤镜的功能，是首次添加到2月份推出的 Docker 1.10 更新中的。Seccomp是集成到Linux内核主干中的一种技术，提供细粒度的安全控制。

Docker最新版本是1.12版，6月推出的。Gartner已经在考虑 1.12 版的安全特性了，其中包括内置证书授权、节点间相互传输层安全(Mutual TLS)身份验证和授权，以及加密节点身份。尤为特殊的是，加密节点身份是驱动未来安全特性的基础模块之一。

然而，Docker的多层次安全并不意味着所有Docker用户就默认安全了。恰当地保护Docker容器环境，涉及到利用上Docker提供的安全功能，以及应用最佳配置实践。那是2015年5月发布的 Docker Bench 工具背后的理论基础。Docker安全在此后又有了新改进，而Docker Bench 被设为保持跟进。

麦考利称：“我们正在更新 Docker Bench 以利用起1.12版中的新编配特性，并为推出的每个基准持续更新我们的sysbench发布。”

(责任编辑：安博涛)