A Docker acaba de anunciar uma mudança significativa na sua estratégia de segurança para programadores, disponibilizando gratuitamente e em código aberto a sua coleção de Docker Hardened Images (DHI). Esta novidade promete facilitar a vida a milhões de profissionais que procuram construir software de forma mais segura e eficiente.
Até agora, estas imagens otimizadas estavam reservadas a subscrições pagas, mas a empresa decidiu democratizar o acesso a mais de 1000 destas imagens sob a licença Apache 2.0.
Segurança reforçada desde a base
Para quem lida diariamente com a criação de contentores, a segurança é uma preocupação constante. As Docker Hardened Images foram lançadas originalmente em maio deste ano com o objetivo de oferecer imagens de base mínimas, seguras e prontas para produção. Estas imagens são mantidas diretamente pela Docker e desenhadas para reduzir drasticamente a superfície de ataque e os riscos na cadeia de fornecimento.
Entre as principais características técnicas, destaca-se o facto de serem executadas sem privilégios de administrador (rootless) e de virem "limpas" de componentes desnecessários que poderiam servir de porta de entrada para vulnerabilidades. Além disso, suportam o padrão VEX (Vulnerability Exploitability eXchange), permitindo uma gestão de segurança mais leve e assertiva.
Open-source e acessível a todos
Numa reviravolta estratégica, a equipa da Docker anunciou que o acesso a este catálogo completo deixou de ser um produto estritamente comercial. A iniciativa visa beneficiar os mais de 26 milhões de programadores no ecossistema de contentores, permitindo-lhes utilizar, partilhar e construir sobre estas bases sem surpresas de licenciamento, conforme detalhado no blog oficial da Docker.
A empresa garante que, apesar de agora serem gratuitas, a qualidade de segurança mantém-se. As imagens continuam a ser verificáveis através de SBOM (Software Bill of Materials), fornecem proveniência de nível SLSA Build Level 3 e incluem prova de autenticidade. Isto significa que, desde o primeiro "pull", os programadores têm uma fundação robusta para as suas aplicações.
A diferença para o nível Enterprise
Embora o acesso às imagens seja agora livre, a Docker mantém uma distinção importante para o seu nível comercial, o DHI Enterprise. A grande diferença reside no compromisso de correção de falhas (SLA).
Para os clientes empresariais, a Docker garante a correção de vulnerabilidades críticas num prazo de 7 dias após a sua divulgação — com o objetivo interno de reduzir este tempo para apenas um dia ou menos. Para os utilizadores da versão gratuita, as correções e patches continuarão a ser disponibilizados, mas sem este compromisso temporal pré-definido.
O nível pago oferece ainda funcionalidades adicionais, como a possibilidade de modificar as imagens DHI, configurar runtimes e instalar ferramentas extra. Os interessados podem consultar o catálogo completo e as opções disponíveis diretamente no site da empresa.
Nenhum comentário
Seja o primeiro!