Docker met désormais à disposition gratuitement et en open source plus de 1 000 images de conteneurs renforcées. L’entreprise souhaite ainsi établir une nouvelle norme pour la sécurité des applications conteneurisées.
Docker a publié l’intégralité de son catalogue de Docker Hardened Images (DHI), basé sur les distributions open source populaires Debian et Alpine, sous une licence Apache 2.0. Les développeurs, les organisations et les gouvernements peuvent utiliser, modifier et redistribuer librement les images sans restrictions. Selon Docker, les images renforcées réduisent jusqu’à 95 % des vulnérabilités connues par rapport aux images communautaires standard.
Chaque image contient quatre éléments constitutifs :
- Une nomenclature (SBOM) complète des logiciels ;
- Des données CVE transparentes et publiques ;
- Une chaîne de construction traçable selon le niveau 3 de SLSA ;
- Une preuve cryptographique d’authenticité.
Pour simplifier et encourager la transition, l’assistant IA de Docker peut scanner les conteneurs existants et faire des suggestions pour une image renforcée similaire.
Également pour l’IA
Docker étend également son approche à l’infrastructure d’IA. La méthodologie de renforcement est appliquée aux serveurs dits Model Context Protocol (MCP), qui connectent les assistants d’IA à des outils et des sources de données externes. Les premières images renforcées sont disponibles pour plus de dix serveurs populaires, dont Grafana, MongoDB et GitHub.
lire aussi
Docker lance Model Runner pour les modèles d’IA locaux
Docker note que l’adoption de DHI s’accélère depuis son lancement, avec des organisations telles qu’Adobe et Crypto.com qui passent déjà aux images renforcées à l’échelle de l’organisation. La décision de rendre DHI gratuit et open source vise à rendre la sécurité de base accessible à tous les développeurs, quels que soient leur taille ou leur secteur d’activité.
Variante payante
Docker souhaite naturellement également offrir aux utilisateurs la possibilité d’opter pour un modèle payant. Pour les entreprises qui ont des exigences supplémentaires en matière de conformité ou de mises à jour de sécurité plus rapides, Docker propose les formules payantes DHI Enterprise et DHI Extended Lifecycle Support (ELS). DHI Enterprise promet, entre autres, une résolution des CVE dans les sept jours, et à terme dans les 24 heures. De plus, les images sont personnalisables et adaptées à la conformité FIPS et STIG.
Avec DHI ELS, les entreprises bénéficient d’un support de sécurité supplémentaire allant jusqu’à cinq ans après la fin officielle du support de la distribution sous-jacente. Cela comprend, entre autres, d’autres mises à jour CVE et le maintien de la signature cryptographique et de la vérifiabilité pour les audits.