## 应用程序映像安全
Docker允许容器映像来源于硬盘或者来自一个远程的注册机。Docker Hub是一个SaaS注册机,它包含公共映像和大量Docker用户可以公开搜索和下载的官方映像仓库。官方仓库是由独立软件开发商(ISV)和Canonical、Oracle、RedHat等众多Docker贡献者认证的仓库。这些映像由这些上游伙伴维护和支持以确保映像是最近的。Docker并不知道当前使用的是哪一个远程的注册机,这允许企业使用任何本地注册机、基于公有云的这册及或者Docker Hub的组合方案。
对于健全的安全措施而言合适的应用程序映像工具是非常关键的。无论计划内还是计划外,IT管理员需要快速且方便地执行应用程序更新并且让这些变更也部署到相关的应用程序上。Docker容器的易于组合的特性和动态性使其能够适应持续的变更而几乎不会中断应用程序的其余组成部分。
由于容器映像是持续变更的而且需要通过你的基础架构推送和拉取,安全通信对于构架和发布应用程序而言就非常重要。所有与注册机的通信都使用TLS,只为保证双方的私密性及内容的完整性。缺省情况下是强制使用公共PKI基础架构信任的凭证,但是Docker允许额外地把一个公司内部的CA根证书加入信任库。