Docker Hardened Images теперь с открытым исходным кодом и доступны бесплатно

Более 1000 защищенных образов Docker (DHI) теперь находятся в свободном доступе и имеют открытый исходный код для разработчиков программного обеспечения под лицензией Apache 2.0.

Docker — это популярная платформа, которая позволяет разработчикам быстро создавать, тестировать и развертывать приложения в образах контейнеров, включающих необходимые зависимости, что обеспечивает предсказуемые и воспроизводимые результаты в различных системах и средах.

DHI, запущенные в мае этого года, представляют собой защищённые, минимально необходимые для работы базовые образы Docker, поддерживаемые непосредственно компанией Docker. Они разработаны для снижения уязвимости к атакам и рисков в цепочке поставок на уровне контейнеров.

DHIs не имеют root-доступа, лишены ненужных компонентов, не содержат известных уязвимостей и поддерживают стандарт Vulnerability Exploitability eXchange (VEX) для более эффективного управления безопасностью.

Кроме того, они гарантированно получают исправления для новых уязвимостей в существующих компонентах DHI в течение 7 дней с момента их обнаружения.

В октябре команда Docker объявила, что предоставит неограниченный доступ ко всему каталогу DHI, состоящему из 1000 образов, всем командам разработчиков, а также предложит всем подписчикам 30-дневную бесплатную пробную версию.

Однако компания Docker решила сделать DHI не коммерческим предложением, а бесплатной услугой для всех разработчиков.

«Сегодня мы устанавливаем новый отраслевой стандарт, предоставляя DHI в свободном доступе с открытым исходным кодом всем, кто занимается разработкой программного обеспечения. Всем 26 миллионам с лишним разработчиков в контейнерной экосистеме», читается в объявлении.

«DHI полностью открыт и бесплатен для использования, распространения и доработки без каких-либо сюрпризов с лицензированием. Он распространяется по лицензии Apache 2.0. Теперь DHI предоставляет миру безопасную, минималистичную, готовую к использованию основу с самого первого выпуска», — заявили в компании.

Компания Docker подчеркнула, что этот шаг не приведёт к снижению уровня безопасности DHI, поскольку образы по-прежнему можно проверить с помощью SBOM, сборки соответствуют уровню 3 стандарта SLSA, а каждый образ сопровождается подтверждением подлинности.

Однако 7-дневное обязательство по установке критических исправлений CVE (SLA) по-прежнему распространяется только на коммерческий уровень DHI Enterprise, который по-прежнему доступен. Бесплатные пользователи также получат исправления, но не в заранее установленный срок.

Что касается DHI Enterprise и времени, необходимого для устранения недостатков, Docker заявляет, что стремится сократить его до одного дня или даже меньше. Коммерческий уровень также позволяет изменять образы DHI, настраивать среды выполнения и устанавливать дополнительные инструменты.

Пользователи Docker могут получить доступ ко всему каталогу DHI и возможностям подписки отсюда.

Редактор: AndreyEx