Docker Notary es una herramienta OSS que permite firmar recursos como imágenes, ficheros y contenedores. Esto implica que la procedencia de los recursos puede ser verificada, lo que es muy útil en entornos regulados y una buena práctica en general. Como ejemplo, cuando un contenedor es creado, se le adjunta una firma compuesta de una clave privada y un hash, asociada a la identidad del publicador del contenedor y almacenada en los metadatos del mismo. Una vez publicada, la procedencia del contenedor (o de cualquier otro recurso) puede ser verificada usando su hash y la clave pública del publicador. Las claves suelen estar generalmente disponibles en registros públicos como Docker Trusted Registry, aunque también se pueden publicar en un registro propio. Nuestros equipos han encontrado algunos comportamientos extraños usando servidores Notary locales y sugieren usar un registro que incluya a su vez Notary siempre que sea posible.
