1,000を超えるDocker Hardened Images(DHI)が、Apache 2.0ライセンスの下で、ソフトウェア開発者向けに無料で利用できるオープンソースとして公開されました。
Dockerは、必要な依存関係を含むコンテナイメージ内で、開発者がアプリケーションを迅速に構築・テスト・デプロイできるようにする人気のプラットフォームであり、さまざまなシステムや環境にわたって予測可能で再現性のある結果を実現します。
今年5月に開始されたDHIは、Dockerが直接メンテナンスする、安全で最小限の本番対応Dockerベースイメージです。コンテナ層における攻撃対象領域とサプライチェーンリスクを低減するよう設計されています。
DHIはrootlessで、不要なコンポーネントを取り除き、既知の脆弱性がなく、より効率的なセキュリティ管理のためにVulnerability Exploitability eXchange(VEX)標準をサポートします。
また、既存のDHIコンポーネントに新たな欠陥が見つかった場合、開示から7日以内に修正を提供することも保証されています。
10月、Dockerチームは、すべての開発チームに対して1,000イメージからなるDHIカタログ全体への無制限アクセスを開放し、さらに全サブスクライバーに30日間の無料トライアルを提供すると発表しました。
しかしDockerは、DHIを商用提供から移行し、すべての開発者がサブスクリプションなしで利用できるようにすることを決定しました。
「本日、ソフトウェアを構築するすべての人にDHIを無料で提供し、オープンソース化することで、新たな業界標準を確立します。コンテナエコシステムにいる2,600万人以上の開発者すべてに向けて」と発表では述べられています。
「DHIは完全にオープンで、ライセンス上の想定外がなく、Apache 2.0ライセンスにより裏付けられた形で、利用・共有・改変して構築することができます。DHIは、最初のpullの時点から、安全で最小限の本番対応基盤を世界に提供します」と同社は述べています。
Dockerは、この移行によってDHIのセキュリティが割り引かれることはないと強調しており、イメージは引き続きSBOMで検証可能で、ビルドはSLSA Build Level 3の来歴(provenance)を提供し、すべてのイメージに真正性の証明が付随するとしています。
ただし、重大なCVEに対する7日以内のパッチ提供コミットメント(SLA)は、引き続き商用ティアであるDHI Enterpriseに限定されます。無料ティアにもパッチは提供されますが、事前に定められた期間内ではありません。
DHI Enterpriseおよび欠陥修正までの時間について、Dockerはそれを1日、あるいはそれ以下に短縮することを目指していると述べています。商用ティアでは、DHIイメージの変更、ランタイムの設定、追加ツールのインストールも可能です。
Dockerユーザーは、DHIカタログ全体とサブスクリプションの選択肢にこちらからアクセスできます。
