Docker امنیت کانتینرها را برای همه تیمهای کوچک قابل دسترس کرد
تیم Docker اعلام کرده است که دسترسی نامحدود به کاتالوگ «Hardened Images» را فراهم میکند تا استفاده از بستههای نرمافزاری ایمن برای تمام تیمهای توسعه در استارتاپها و کسبوکارهای کوچک و متوسط (SMB) مقرونبهصرفه شود.
از امروز، تصاویر کانتینریای که بررسی و تأیید شدهاند تا فاقد آسیبپذیریهای شناختهشده باشند (تقریباً با CVE نزدیک به صفر)، از طریق یک اشتراک و دوره آزمایشی ۳۰ روزه در دسترس تمامی کاربران قرار دارند.
در اطلاعیه رسمی آمده است:
«ما دسترسی نامحدود به کاتالوگ Docker Hardened Images را معرفی میکنیم تا دستیابی به CVE نزدیک به صفر را با قیمتی مناسب برای تمام تیمها به واقعیت تبدیل کنیم. با یک اشتراک Hardened Images، هر تیم میتواند به کل این کاتالوگ دسترسی داشته باشد: نامحدود، ایمن و همیشه بهروزرسانیشده.»
Docker یک پلتفرم بسیار پرکاربرد است که به توسعهدهندگان امکان میدهد اپلیکیشنها و وابستگیهای آنها را در قالب «کانتینر» بستهبندی کنند و آنها را به شکلی یکپارچه و سازگار در محیطهای مختلف اجرا نمایند.
تصاویر کانتینری قالبهایی هستند که شامل تمام اجزای مورد نیاز یک برنامه، از جمله کد، runtime، کتابخانهها و ابزارهای سیستمی هستند.
کاهش ریسک امنیتی
Hardened Images نسخههای ایمنشدهای از تصاویر معمولی Docker هستند که ریسک آسیبپذیریهای شناختهشده را از بین میبرند؛ زیرا از سورس کد ساخته میشوند، بهطور مداوم بهروزرسانی و patch میشوند و هیچ مؤلفه غیرضروری ندارند.
هر تصویر ایمنشده همچنین از قابلیت Vulnerability Exploitability eXchange (VEX) پشتیبانی میکند؛ قابلیتی که تنها بر آسیبپذیریهای واقعی و قابل سوءاستفاده تمرکز دارد.
Docker اعلام کرده است که با حذف مؤلفههای غیرضروری، سطح حمله (Attack Surface) تا ۹۵٪ کاهش پیدا میکند.
Docker با شرکت امنیت سایبری مستقل SRLabs همکاری کرده تا تصاویر Hardened را ممیزی و تأیید کند. نتایج این ممیزی نشان داد که این تصاویر بهدرستی امضا شدهاند، بهصورت پیشفرض بدون دسترسی روت هستند، از SBOM و VEX پشتیبانی میکنند و هیچ مشکل breakout با شدت بالا یا فرار از سطح دسترسی روت در آنها وجود ندارد.
همچنین تصاویر Hardened تحت پوشش یک توافقنامه سطح سرویس (SLA) هفت روزه برای پچ امنیتی قرار دارند؛ به این معنا که اگر یک CVE جدید روی یکی از مؤلفههای تصویر تأثیر بگذارد، Docker موظف است ظرف یک هفته نسخه اصلاحشده را منتشر کند.
کاتالوگ Hardened Images دامنه گستردهای از تصاویر را ارائه میدهد، از جمله برای هوش مصنوعی و یادگیری ماشین، زبانها و runtimeها (مثل Python)، پایگاههای داده (PostgreSQL)، فریمورکها (NGINX) و ابزارهای زیرساختی (Kafka).
این کاتالوگ همچنین شامل نسخههای FedRAMP-ready است که با استانداردهای امنیتی سختگیرانه فدرال ایالات متحده سازگار هستند.
تمام تصاویر این کاتالوگ با سیستمعاملهای Alpine و Debian سازگارند و میتوانند تنها با تغییر یک خط در Dockerfile ادغام شوند. همچنین توسعهدهندگان میتوانند این تصاویر را شخصیسازی کنند بدون اینکه وضعیت Hardened آنها از بین برود.
در حالی که Docker Hub همچنان نقطه شروع پیشفرض برای اکثر ساختهای کانتینری است، انتشار عمومی کاتالوگ Hardened Images میتواند آغازگر ارتقای قابل توجهی در سطح امنیت اکوسیستم Docker باشد.