Recherche de site Web

Docker Engine 28 renforce la sécurité des conteneurs

Docker Engine 28 renforce la sécurité en bloquant l’accès LAN aux ports de conteneurs non publiés, réduisant ainsi les risques d’exposition.

Docker, une plate-forme open source de premier plan pour le développement, l’expédition et l’exécution d’applications à l’intérieur de conteneurs, a officiellement déployé Docker Engine 28, une mise à jour regorgeant d’améliorations qui verrouillent la mise en réseau des conteneurs par défaut.

Auparavant, les conteneurs sur le réseau « pont » par défaut de Docker étaient accessibles si le pare-feu de l’hôte d’un utilisateur était permissif. Cependant, à partir de Docker v28, ces ports non publiés sont bloqués par défaut, fermant ainsi la porte à ces exploits du réseau local.

Qui pourrait être touché ? La mise à niveau vers la nouvelle version améliorera de manière transparente la sécurité pour la plupart des utilisateurs de Docker sur une seule machine. Les utilisateurs de Docker Desktop ne sont pas affectés, car le réseau interne inclut déjà une protection pour les ports non publiés.

Au-delà des mises à jour de sécurité principales, Docker Engine 28 apporte plusieurs ajouts et améliorations utiles :

  • Docker exige désormais explicitement la prise en charge d’ipset dans le noyau Linux pour gérer les nouvelles règles de filtrage.
  • Les développeurs peuvent maintenant utiliser docker run --mount type=image,image-subpath=[subpath] ... pour monter une image ou un chemin d’accès spécifique à partir d’une image directement à l’intérieur d’un conteneur.
  • docker images --tree vous montre désormais des métadonnées supplémentaires dans une sortie de type arborescence, ce qui facilite la visualisation de vos images locales et de leurs relations.
  • Les commandes docker load/save/history acceptent désormais --platform, permettant des opérations sur une seule plate-forme sur des images multi-architectures.
  • Lorsque les conteneurs démarrent, ils diffusent des publicités ARP ou de voisinage pour lier les adresses au nouvel MAC correct.

Comme toujours avec chaque nouvelle version de Docker, un large éventail de petits problèmes ont été résolus, des connexions de pontage plus rapides à un comportement plus cohérent dans les commandes telles que l’exportation docker. Les utilisateurs de Windows peuvent également remarquer une utilisation plus stable des conteneurs grâce à une option permettant à Docker de gérer les conteneurs en tant que processus enfant.

Pour plus d’informations sur toutes les modifications, consultez les notes de mise à jour de Docker Engine 28 ou consultez cet article sur le blog Docker.