A Docker anunciou uma mudança significativa na sua estratégia de segurança, passando a oferecer acesso ilimitado ao seu catálogo de Docker Hardened Images. O objetivo é tornar a segurança de nível empresarial mais acessível e económica para todas as equipas através de uma única subscrição.
Numa publicação no seu blog oficial, a empresa explica que esta medida visa resolver o problema dos custos de proteção que não escalam de forma uniforme, resultando numa segurança desigual entre projetos. Para que os programadores possam ver o impacto desta novidade, a Docker está a disponibilizar um teste gratuito de um clique para todos os utilizadores com sessão iniciada.
O que são as Docker Hardened Images?
As Hardened Images são imagens de contentores reforçadas, projetadas para oferecer um nível de segurança superior desde o primeiro momento. O catálogo abrange uma vasta gama de necessidades, desde imagens para inteligência artificial e machine learning (Kubeflow), linguagens de programação como Python, bases de dados (PostgreSQL) e infraestruturas (Kafka).
O processo de "hardening" ou reforço baseia-se na construção das imagens diretamente a partir do código-fonte, na aplicação contínua de patches de segurança e na remoção de todos os componentes desnecessários. Esta abordagem minimalista resulta em imagens que são, em média, 95% mais pequenas do que as alternativas, o que reduz drasticamente a superfície de ataque a potenciais ameaças.
O catálogo inclui ainda variantes preparadas para o FedRAMP, um padrão de segurança exigido pelas autoridades federais dos EUA, garantindo a conformidade com requisitos rigorosos.
Validação independente e migração simplificada
Para ajudar as equipas a focarem-se no que realmente importa, cada imagem vem com suporte para Vulnerability Exploitability eXchange (VEX). Esta tecnologia permite filtrar o ruído dos alertas de segurança, destacando apenas as vulnerabilidades que representam um risco real. A migração para estas imagens seguras é também bastante simples, exigindo apenas a alteração de uma única linha num Dockerfile.
Por defeito, as Hardened Images são "rootless" (não executam com privilégios de administrador), o que ajuda a prevenir ataques de escalada de privilégios. As equipas podem ainda personalizar e estender estas imagens com os seus próprios pacotes e scripts, sem perder a base de segurança reforçada.
A qualidade das Docker Hardened Images foi validada de forma independente pela SRLabs, uma consultora de cibersegurança. A análise da SRLabs confirmou que as imagens são assinadas, "rootless" por defeito e fornecidas com SBOM (Software Bill of Materials) e VEX. A avaliação não encontrou falhas de segurança de alta severidade, destacando pontos fortes como o compromisso de aplicar patches em 7 dias (SLA) e um pipeline de construção seguro.
Nenhum comentário
Seja o primeiro!