Docker、強化済みイメージ1,000件を無料かつオープンソースで提供

Dockerは今週、1,000件を超える安全なイメージを開発者向けに無料かつオープンソースとして提供したと発表した。

同社は5月、エンタープライズのサプライチェーンセキュリティ強化を支援するために設計された強化済みイメージのカタログであるDocker Hardened Images（DHI）のリリースを発表していた。 

これらのイメージは継続的にスキャンおよび更新され、悪用可能なCVEの数を排除—あるいは少なくとも最小限に抑える—ようにしている。

さらに、イメージはデフォルトで非rootとして実行され、攻撃対象領域を減らすために最小構成となっており、コンプライアンス基準を満たし、複数のディストリビューションで利用可能だ。

DHIカタログは、Cloudsmith、GitLab、Grype、JFrog、Microsoft、Neo4j、NGINX、Sonatype、Sysdig、Wizといったソフトウェア開発およびセキュリティ企業との提携により作成された。

ローンチ当初、強化済みイメージは商用提供の一部であり、ペイウォールの背後に置かれていた。しかしDockerは今週、DHIが現在は無料かつオープンソースとなり、1,000件を超える強化済みイメージがすべての開発者に提供されると発表した。 

Dockerによれば、透明性のため、各イメージには真正性の証明、SBOM、CVEデータ、SLSA Build Level 3の来歴情報が付属するという。

基本のDHIは現在無料で利用できる一方で、Dockerは厳格なセキュリティ要件や規制要件を持つ企業向けに商用版の提供も継続している。 

攻撃者がソフトウェアサプライチェーン内の脆弱性をますます悪用するようになる中、コンテナの保護はミッションクリティカルな必須事項となっている。この分野の重要性は、強化済みで脆弱性のないコンテナイメージを提供するスタートアップに対するベンチャーキャピタルの投資が急増していることからも裏付けられる。 

例としては、近月シードおよびシリーズAで5,000万ドルを調達したEchoや、最近2億8,000万ドルのグロース資金調達ラウンドを発表したChainguardが挙げられる。Chainguardは累計で約9億ドルを調達しており、直近の資金調達ラウンド以前には評価額が35億ドルと評価されていた。 

この分野の勢いは市場予測によってもさらに後押しされている。コンテナセキュリティ業界は2025年におよそ30億ドルと評価されており、今後10年で200億ドルを超えると予測されている。