Dockerは脆弱性の低減とコンテナ化アプリケーション用ソフトウェアサプライチェーンのセキュリティ向上のために、本番環境向けの新たなセキュリティ強化型ベースイメージ群を発表した。
Docker Hardened Images (DHI)はディストロレスアプローチを使用してソースからビルドされた整理済の最小限イメージセットである。シェル、パッケージマネージャー、その他の不要なコンポーネントを削除することで、Imagesはコンテナ化ワークロードの攻撃対象領域を大幅に減らすよう設計されている。
DockerによるとHardened Imagesは従来のベースイメージと比較して最大95%、脆弱性フットプリントを削減している。各イメージは自動パッチ適用と継続的なセキュリティアップデートで維持され、既知のCVE数をほぼゼロにすることを目指している。定められたサービスレベルアグリーメントに基き、重大および高深刻度の脆弱性は7日以内にパッチ適用される。
Hardened imagesは、AlpineやDebianなどポピュラーなベースイメージのドロップインリプレースメントとして設計されている。Dockerは、ビルドパイプラインへの影響を最小限に抑えるために、既存Dockerfileとの互換性確保にフォーカスしている。カスタマイズレイヤーにより、チーム独自の証明書、パッケージ、設定ファイルをセキュアベースに追加できる。
DHIイメージには署名されたソフトウェア部品表(SBOM)とプロヴェナンスメタデータも含まれており、透明性とサプライチェーンの可視性を向上させる。これらの機能は、特に規制産業やセキュリティに敏感な環境で活動するチームにとって、追加の保証や追跡可能性が重視される場合に特に関連するかもしれない。
Dockerはマイクロソフト、GitLab、JFrog、NGINX、Sysdig、Wiz、Sonatypeなどの初期統合パートナーを発表した。これらのコラボレーションは、DHIがポピュラーなセキュリティおよびCI/CDツールとシームレスに連携することを目指している。
社内テストでは、標準のNode.jsイメージをHardened variantに切置き換えたことでインストール済パッケージ数を98%削減し、既知のCVEを排除したと、Dockerは報告している。初期カタログには、Python、Go、Javaなどの一般的なランタイム用のHardened imagesが含まれている。
DHIは現在Docker Hubで利用可能であり、アクセスはDockerのサブスクリプション階層によって決定される。セットアップドキュメントとカスタマイズツールはリリースの一部として含まれている。