Ricerca nel sito web

Docker Engine 28 rafforza la sicurezza dei container

Docker Engine 28 migliora la sicurezza bloccando le porte dei container non pubblicate dall'accesso LAN, riducendo i rischi di esposizione.

Docker, una piattaforma open source leader per lo sviluppo, la spedizione e l'esecuzione di applicazioni all'interno di container, ha ufficialmente lanciato Docker Engine 28, un aggiornamento ricco di miglioramenti che bloccano la rete di container per impostazione predefinita.

In precedenza, era possibile accedere ai container sulla rete "bridge" predefinita di Docker se il firewall host di un utente era permissivo. Tuttavia, a partire da Docker v28, queste porte non pubblicate sono bloccate per impostazione predefinita, chiudendo di fatto la porta a questi exploit della rete locale.

Chi potrebbe essere interessato? L'aggiornamento alla nuova versione migliorerà senza problemi la sicurezza per la maggior parte degli utenti Docker su una singola macchina. Gli utenti di Docker Desktop non sono interessati poiché la rete interna include già la protezione per le porte non pubblicate.

Oltre agli aggiornamenti di sicurezza principali, Docker Engine 28 apporta diverse utili aggiunte e miglioramenti:

  • Docker ora richiede esplicitamente il supporto ipset nel kernel Linux per gestire le nuove regole di filtro.
  • Gli sviluppatori possono ora utilizzare docker run --mount type=image,image-subpath=[subpath] ... per montare un'immagine o un percorso specifico da un'immagine direttamente all'interno di un contenitore.
  • docker images --tree ora mostra metadati aggiuntivi in un output simile ad un albero, rendendo più facile visualizzare le immagini locali e le loro relazioni.
  • I comandi docker load/save/history ora accettano --platform, abilitando operazioni su piattaforma singola su immagini multi-arch.
  • Quando i container vengono avviati, trasmettono annunci ARP o adiacenti per collegare gli indirizzi al nuovo MAC corretto.

Come sempre con ogni nuova versione di Docker, è stata risolta un'ampia gamma di problemi minori, dalle connessioni bridging più veloci a un comportamento più coerente in comandi come l'esportazione docker. Gli utenti Windows possono anche notare un utilizzo più stabile dei container grazie a un'opzione che consente a Docker di gestire i container come processo figlio.

Per ulteriori informazioni su tutte le modifiche, vedere le note di rilascio di Docker Engine 28 o visitare questo articolo nel blog di Docker.