Plus de 1 000 images renforcées Docker (DHI) sont désormais disponibles gratuitement et en open source pour les concepteurs de logiciels, sous la licence Apache 2.0.
Docker est une plate-forme populaire qui permet aux développeurs de créer, tester et déployer rapidement des applications à l’intérieur d’images de conteneurs qui incluent les dépendances requises, permettant des résultats prévisibles et reproductibles sur divers systèmes et environnements.
Les DHIS, lancés en mai de cette année, sont des images de base Docker sécurisées, minimales et prêtes pour la production, maintenues directement par Docker. Ils sont conçus pour réduire la surface d’attaque et les risques de la chaîne d’approvisionnement au niveau de la couche du conteneur.
Les DHIS sont sans racines, dépourvus de composants inutiles, exempts de vulnérabilités connues et prennent en charge la norme Vulnerability Exploitability eXchange (VEX) pour une gestion de la sécurité allégée.
Ils sont également garantis de proposer des correctifs pour les nouveaux défauts des composants DHI existants dans les 7 jours suivant leur divulgation.
En octobre, l’équipe Docker a annoncé qu’elle ouvrirait un accès illimité à l’intégralité de son catalogue DHI de 1 000 images à toutes les équipes de développeurs et offrirait également un essai gratuit de 30 jours à tous les abonnés.
Cependant, Docker a décidé de faire passer les DHIS d’une offre commerciale à leur mise à disposition sans abonnement pour tous les développeurs.
« Aujourd’hui, nous établissons une nouvelle norme de l’industrie en rendant DHI librement disponible et open source pour tous ceux qui construisent des logiciels. Plus de 26 millions de développeurs dans l’écosystème des conteneurs”, lit – on dans l’annonce.
« DHI est entièrement ouvert et gratuit à utiliser, partager et développer sans surprises de licence, soutenu par une licence Apache 2.0. DHI offre désormais au monde une base sûre, minimale et prête pour la production dès la première traction”, a déclaré la société.
Docker a souligné que le déménagement ne s’accompagne pas de remises de sécurité pour DHI, car les images restent vérifiables par SBOM, les versions fournissent la provenance de niveau 3 de la version SLSA et chaque image est accompagnée d’une preuve d’authenticité.
Cependant, l’engagement de correctif CVE critique (SLA) de 7 jours est toujours exclusif au niveau commercial, DHI Enterprise, qui est toujours disponible. Les correctifs seront toujours fournis à l’offre gratuite, mais pas dans un délai prédéfini.
En ce qui concerne DHI Enterprise et le temps nécessaire pour corriger les défauts, Docker déclare qu’il vise à le réduire à un seul jour, voire moins. Le niveau commercial permet également de modifier les images DHI, de configurer les environnements d’exécution et d’installer des outils supplémentaires.