Mais de 1.000 Docker Hardened Images (DHI) estão agora disponíveis gratuitamente como código aberto para desenvolvedores, sob a licença Apache 2.0.
Docker é uma plataforma popular que permite criar, testar e implantar aplicações rapidamente dentro de containers, que incluem todas as dependências necessárias.
Isso garante resultados previsíveis e consistentes em diferentes sistemas e ambientes.
Lançadas em maio deste ano, as DHIs são imagens base seguras, minimalistas e prontas para produção, mantidas diretamente pela Docker.
Elas foram projetadas para reduzir a superfície de ataque e os riscos na cadeia de suprimentos ao nível do container.
Essas imagens são rootless, eliminam componentes desnecessários, não contêm vulnerabilidades conhecidas e suportam o padrão Vulnerability Exploitability eXchange (VEX), facilitando a gestão de segurança.
Além disso, a Docker se compromete a corrigir novas vulnerabilidades críticas detectadas nos componentes das DHIs em até sete dias após sua divulgação.
Em outubro, a equipe Docker anunciou acesso ilimitado a todo o catálogo de mais de 1.000 imagens DHI para todas as equipes de desenvolvimento, além de oferecer um período gratuito de 30 dias para assinantes.
No entanto, a empresa decidiu tornar as DHIs totalmente gratuitas e livres de assinatura para todos os desenvolvedores, abandonando o modelo comercial.
“Estamos estabelecendo um novo padrão na indústria ao tornar as DHIs abertas e gratuitas para todos que constroem software.
São mais de 26 milhões de desenvolvedores no ecossistema de containers”, destacou o anúncio oficial.
“As DHIs são completamente abertas e gratuitas para uso, compartilhamento e desenvolvimento, sem surpresas na licença, graças à Apache 2.0.
Dessa forma, oferecemos uma base segura, minimalista e pronta para produção desde o primeiro download”, afirmou a empresa.
É importante ressaltar que essa mudança não implica redução nos padrões de segurança das DHIs.
As imagens continuam verificáveis por meio de SBOM (Software Bill of Materials), com builds que fornecem rastreabilidade no nível SLSA Build Level 3 e vêm acompanhadas de prova de autenticidade.
Por outro lado, o compromisso formal de corrigir vulnerabilidades críticas em até sete dias (SLA) permanece exclusivo para o plano comercial DHI Enterprise, que continua disponível.
A versão gratuita seguirá recebendo patches, embora sem prazo definido.
Quanto ao DHI Enterprise, a Docker pretende reduzir o tempo para correção de falhas para um dia ou menos.
Esse plano comercial também permite modificar imagens DHI, configurar runtimes e instalar ferramentas adicionais.
Usuários Docker podem acessar o catálogo completo de DHIs e as opções de assinatura no site oficial da empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...