Docker Inc. güçlendirilmiş görüntüleri ücretsiz olarak kullanıma sunuyor

Docker Inc., daha önce ücreti ödenen bir ürünü artık ücretsiz olarak sunacağını duyurdu: Docker Hardened Images (DHI). Docker yazılımının mucidi ve Docker Hub'ın operatörü, bunun konteyner ortamında da meydana gelen tedarik zinciri saldırılarına yanıt vermek için kullanıldığını açıklıyor. Sağlamlaştırılmış görüntüler, minimum düzeye indirilmiş bir dağıtımın kullanıcı alanını içerir ve bu nedenle Docker Hub'da (hub.docker.com) oturum açmadan birçok uygulama için bulunabilen “resmi görüntüler” olarak adlandırılanlardan farklıdır.

Daha az dağıtım izi

Örneğin, Nginx web sunucusuna ve görüntüsüne bir göz atın: Genel merkezde bu adı taşıyan görüntüler var nginxAlpine veya Debian dağıtımlarına dayanmaktadır. Web sunucusunun kendisine ek olarak dağıtımın bazı bölümleri de dahildir. Çoğu bileşen web sunucusunun çalışması için gerekli değildir ve yalnızca aşağıdaki gibi araçları kullanırsanız faydalıdır: docker exec bir konteynere atlayın ve içindeki hataları arayın. Yerleşik paket yöneticisi aracılığıyla (apt VEYA apk) örneğin bir metin düzenleyici yükleyebilir ve kapsayıcıda hatalar olup olmadığını kontrol edebilirsiniz. Ancak bu tür araçlar aynı zamanda saldırganlar için bir geçit haline de gelebilir.

Sağlamlaştırılmış görüntüler daha az dağıtım izi ve dolayısıyla daha az giriş noktası içerir, ancak bunun karşılığında anında sorun gidermeye yönelik hiçbir araç yoktur. Karşılaştırma için: Alpine'i temel alan resmi Nginx görüntüsü (nginx:alpine) 21 MB boyutundadır ve CVE girişinin mevcut olduğu bilinen orta düzeyde bir güvenlik açığına sahiptir. Debian çeşidi (nginx:stable-bookworm) 67 MB boyutunda, yüksek aciliyete sahip üç boşluğa, orta önemde üç boşluğa ve “düşük” derecelendirmeye sahip toplam 61 boşluğa sahip. Alpine'e dayanan güçlendirilmiş versiyon (dhi.io/nginx:1-alpine3.21) yalnızca 4 MB boyutundadır ve Docker bilinen tek bir güvenlik açığını listelememektedir. Kapsayıcıya bir bakış şunu gösterir: Paket yöneticisi apkAlpine'ye ait olan araç fotoğrafta mevcut değildir.

MySQL, PHP, Node.js, Traefik ve MongoDB dahil olmak üzere resmi görüntülerin de bulunduğu birçok uygulama için güçlendirilmiş görüntüler mevcuttur. MySQL MariaDB alternatifi için güçlendirilmiş bir görüntü bulamadık. Görüntüleri bulmak için Docker Hub'a ücretsiz bir hesapla giriş yapmanız gerekir; şu anda merkezin halka açık alanında mevcut değiller. Oturum açtıktan sonra, “My Hub” adlı bir genel bakışta gösterilecek ve soldaki menüde “Sertleştirilmiş Görüntüler”i bulacaksınız. Görüntüleri bir sunucuda, geliştirme makinesinde veya CI/CD ortamında kullanmak için önce komutu orada çalıştırmanız gerekir. docker login dhi.io ve kullanıcı adınız ve kişisel erişim jetonunuzla giriş yapın. Sağ üstteki baş harflerinize tıklayıp, “Hesap Ayarları”nı açıp, soldaki “Kişisel Erişim Tokenları” altında okuma haklarına sahip bir token oluşturarak böyle bir token oluşturabilirsiniz.

Para karşılığında daha fazla hizmet

Docker Inc., görsellerin yanı sıra Kubernetes kullanıcıları için güçlendirilmiş görseller kullanan Helm grafikleri de yayınladı. Docker Inc.'in DHI teklifini ücretsiz hale getirme ve Apache 2.0 lisansı altına yerleştirme kararı, Bitnami'nin son plan değişikliğine bir tepki olarak da anlaşılabilir: Broadcom'a ait VMware bölümü, artık halka açık görsellerini sunmayacağını ve yalnızca ücret karşılığında güçlendirilmiş sürümleri sunacağını açıklamıştı.

Duyuruya eşlik eden blog gönderisinde de belirtildiği üzere, Docker Inc. gelecekte de güçlendirilmiş görüntülerden para kazanmaya devam etmek istiyor. Yasal gereksinimleriniz varsa ve örneğin FIPS uyumlu görüntülere ihtiyacınız varsa veya kritik CVE'lere yedi gün içinde yanıt verme konusunda sözleşmeye dayalı bir garantiye ihtiyacınız varsa, ücretli “Docker Hardened Images Enterprise” hizmetini kullanabilirsiniz. Docker ayrıca uygulama geliştiricileri tarafından artık desteklenmeyen sürümlerdeki uygulamalar için genişletilmiş destek (“DHI Genişletilmiş Yaşam Döngüsü Desteği”) vaat ediyor.

(tatlı patates)