Команда Docker объявила о предоставлении неограниченного доступа к каталогу образов Hardened Images, чтобы сделать безопасные программные пакеты доступными для всех команд разработчиков в стартапах и компаниях малого и среднего бизнеса.
С сегодняшнего дня образы контейнеров, проверенные на отсутствие известных уязвимостей (практически нулевой уровень CVE), доступны всем пользователям по подписке и бесплатному 30-дневному пробному периоду.
«Оформив одну подписку на образы Hardened Images, каждая команда получает доступ ко всему каталогу: неограниченному, защищённому и всегда актуальному», — говорится в объявлении.
Образы контейнеров — это шаблоны, включающие весь необходимый код, среду выполнения, библиотеки и системные инструменты для запуска приложения. Защищённые образы — это высокозащищённые версии обычных образов Docker, которые исключают риск известных уязвимостей, поскольку создаются на основе исходного кода, поддерживают регулярные обновления и не содержат ненужных компонентов. Каждый защищённый образ также поддерживает Vulnerability Exploitability eXchange (VEX), который выявляет только действительно важные проблемы безопасности.
Docker сотрудничает с независимыми аудиторами кибербезопасности из SRLabs, которые подтвердили, что защищённые образы надлежащим образом подписаны, по умолчанию не имеют root-доступа, включают SBOM и VEX, а также не выявили утечек root-доступа или других серьёзных проблем.
На защищённые образы также распространяется семидневное соглашение об уровне обслуживания (SLA), которое означает, что, если новая уязвимость CVE затрагивает компонент, используемый в образе, Docker обязан выпустить исправленную версию в течение недели. Каталог предлагает широкий спектр образов, в том числе для искусственного интеллекта/машинного обучения, языков и сред выполнения (Python), баз данных (PostgreSQL), фреймворков (NGINX) и инструментов инфраструктуры (Kafka). В нём также представлены варианты, совместимые с FedRAMP, которые соответствуют более строгим федеральным стандартам безопасности США.
Все образы из каталога совместимы с системами Alpine и Debian Linux, легко интегрируются путём изменения одной строки Dockerfile и могут быть свободно настроены без потери защищённой базовой версии.
Источник: habr.com