Docker امنیت کانتینرها را برای همه تیم‌های کوچک قابل دسترس کرد

تیم Docker اعلام کرده است که دسترسی نامحدود به کاتالوگ «Hardened Images» را فراهم می‌کند تا استفاده از بسته‌های نرم‌افزاری ایمن برای تمام تیم‌های توسعه در استارتاپ‌ها و کسب‌وکارهای کوچک و متوسط (SMB) مقرون‌به‌صرفه شود.

از امروز، تصاویر کانتینری‌ای که بررسی و تأیید شده‌اند تا فاقد آسیب‌پذیری‌های شناخته‌شده باشند (تقریباً با CVE نزدیک به صفر)، از طریق یک اشتراک و دوره آزمایشی ۳۰ روزه در دسترس تمامی کاربران قرار دارند.

در اطلاعیه رسمی آمده است:
«ما دسترسی نامحدود به کاتالوگ Docker Hardened Images را معرفی می‌کنیم تا دستیابی به CVE نزدیک به صفر را با قیمتی مناسب برای تمام تیم‌ها به واقعیت تبدیل کنیم. با یک اشتراک Hardened Images، هر تیم می‌تواند به کل این کاتالوگ دسترسی داشته باشد: نامحدود، ایمن و همیشه به‌روزرسانی‌شده.»

Docker یک پلتفرم بسیار پرکاربرد است که به توسعه‌دهندگان امکان می‌دهد اپلیکیشن‌ها و وابستگی‌های آن‌ها را در قالب «کانتینر» بسته‌بندی کنند و آن‌ها را به شکلی یکپارچه و سازگار در محیط‌های مختلف اجرا نمایند.

تصاویر کانتینری قالب‌هایی هستند که شامل تمام اجزای مورد نیاز یک برنامه، از جمله کد، runtime، کتابخانه‌ها و ابزارهای سیستمی هستند.

کاهش ریسک امنیتی

Hardened Images نسخه‌های ایمن‌شده‌ای از تصاویر معمولی Docker هستند که ریسک آسیب‌پذیری‌های شناخته‌شده را از بین می‌برند؛ زیرا از سورس کد ساخته می‌شوند، به‌طور مداوم به‌روزرسانی و patch می‌شوند و هیچ مؤلفه غیرضروری ندارند.

هر تصویر ایمن‌شده همچنین از قابلیت Vulnerability Exploitability eXchange (VEX) پشتیبانی می‌کند؛ قابلیتی که تنها بر آسیب‌پذیری‌های واقعی و قابل سوءاستفاده تمرکز دارد.

Docker اعلام کرده است که با حذف مؤلفه‌های غیرضروری، سطح حمله (Attack Surface) تا ۹۵٪ کاهش پیدا می‌کند.

Docker با شرکت امنیت سایبری مستقل SRLabs همکاری کرده تا تصاویر Hardened را ممیزی و تأیید کند. نتایج این ممیزی نشان داد که این تصاویر به‌درستی امضا شده‌اند، به‌صورت پیش‌فرض بدون دسترسی روت هستند، از SBOM و VEX پشتیبانی می‌کنند و هیچ مشکل breakout با شدت بالا یا فرار از سطح دسترسی روت در آن‌ها وجود ندارد.

همچنین تصاویر Hardened تحت پوشش یک توافق‌نامه سطح سرویس (SLA) هفت روزه برای پچ امنیتی قرار دارند؛ به این معنا که اگر یک CVE جدید روی یکی از مؤلفه‌های تصویر تأثیر بگذارد، Docker موظف است ظرف یک هفته نسخه اصلاح‌شده را منتشر کند.

کاتالوگ Hardened Images دامنه گسترده‌ای از تصاویر را ارائه می‌دهد، از جمله برای هوش مصنوعی و یادگیری ماشین، زبان‌ها و runtimeها (مثل Python)، پایگاه‌های داده (PostgreSQL)، فریم‌ورک‌ها (NGINX) و ابزارهای زیرساختی (Kafka).

این کاتالوگ همچنین شامل نسخه‌های FedRAMP-ready است که با استانداردهای امنیتی سخت‌گیرانه فدرال ایالات متحده سازگار هستند.

تمام تصاویر این کاتالوگ با سیستم‌عامل‌های Alpine و Debian سازگارند و می‌توانند تنها با تغییر یک خط در Dockerfile ادغام شوند. همچنین توسعه‌دهندگان می‌توانند این تصاویر را شخصی‌سازی کنند بدون اینکه وضعیت Hardened آن‌ها از بین برود.

در حالی که Docker Hub همچنان نقطه شروع پیش‌فرض برای اکثر ساخت‌های کانتینری است، انتشار عمومی کاتالوگ Hardened Images می‌تواند آغازگر ارتقای قابل توجهی در سطح امنیت اکوسیستم Docker باشد.