Le secteur du logiciel libre a récemment connu des avancées significatives, notamment avec Docker, une plateforme populaire qui facilite le développement logiciel grâce à la conteneurisation. Docker a annoncé la publication de plus de 1 000 images Docker renforcées (DHI). Ces images sont désormais offertes gratuitement et distribuées sous licence Apache 2.0. Cette initiative de Docker devrait bénéficier à plus de 26 millions de développeurs travaillant avec des logiciels conteneurisés.

Docker est reconnu pour permettre aux développeurs de créer, tester et déployer rapidement des applications grâce à des images conteneurisées qui encapsulent les dépendances nécessaires. Cet environnement garantit la cohérence et la reproductibilité sur différents systèmes et configurations. Les images Docker renforcées, lancées officiellement en début d'année, visent à offrir une base plus sécurisée et simplifiée aux utilisateurs de Docker. Elles sont rigoureusement maintenues par Docker afin d'atténuer les failles de sécurité et de réduire les risques liés à la chaîne d'approvisionnement logicielle.

L'initiative DHI préconise une architecture sans système racine, la suppression des composants superflus, l'éradication des vulnérabilités connues et l'utilisation de la norme VEX (Vulnerability Exploitability eXchange) pour une gestion de la sécurité plus efficace. Docker s'engage à corriger les vulnérabilités identifiées dans les composants DHI et à publier des correctifs dans les sept jours suivant leur divulgation.

En octobre dernier, Docker avait annoncé son intention d'offrir un accès illimité à son vaste catalogue d'images renforcées (DHI) aux équipes de développement, accompagné d'un essai gratuit de 30 jours. Dans la foulée, Docker a décidé de transformer les DHI, initialement un produit commercial, en une ressource en accès libre pour les développeurs, sans aucun frais d'abonnement. Cette stratégie pourrait bien devenir une nouvelle norme du secteur en fournissant aux développeurs des systèmes prêts à la production, sécurisés, accessibles à tous et avec une configuration minimale, dès leur première utilisation.

Bien que gratuites, ces images conservent une intégrité élevée grâce à leur nomenclature logicielle (SBOM), leur conformité à la norme SLSA Build Level 3 pour la traçabilité des builds et la vérification de leur authenticité. Toutefois, l'engagement à corriger les vulnérabilités critiques sous sept jours reste l'apanage du niveau Entreprise, un service premium toujours disponible pour les utilisateurs exigeant des fonctionnalités avancées. Ce niveau commercial offre des capacités supplémentaires telles que la modification d'images, la configuration à l'exécution et l'intégration d'outils complémentaires, afin de réduire encore davantage le délai de correction des vulnérabilités critiques.

La mise à disposition de ces images Docker renforcées en tant qu'outils open source témoigne d'une évolution majeure vers une sécurité et une accessibilité accrues des applications conteneurisées, renforçant ainsi les environnements de développement contre les menaces potentielles. Grâce à une version gratuite offrant une base solide sans barrière financière, les développeurs du monde entier peuvent désormais exploiter ces ressources pour créer des solutions logicielles sécurisées et performantes.