2025-12-18 の一覧へ戻るホーム
A Safer Container Ecosystem with Docker: Free Docker Hardened Images

2025/12/18 2:13

A Safer Container Ecosystem with Docker: Free Docker Hardened Images

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

Dockerは、Apache 2.0ライセンスの下で配布される1,000以上の安全で本番環境向けコンテナイメージからなる「Docker Hardened Images(DHI)」を発表しました。これらのイメージは、不必要なパッケージを除去し、最小権限を強制し、検証可能なSBOM、SLSAレベル 3プロビナンス、および公開されているCVEデータを提供することで、サプライチェーン攻撃から守ることを目的としています。Dockerは、Enterprise版が画像サイズを最大95%削減しながら既知のCVEsをほぼゼロに保つことができると主張しており、Enterprise層はFIPS/STIG準拠、CISベンチマーク準拠であり、重要なCVE修正について7日以内のSLAを提供しています。オプションのExtended Lifecycle Support(ELS)計画により、アップストリームパッチ後最大5年間のサポートが追加されます。

DHIはすでにAdobe、Qualcomm、Attentive、Octopus Deploy、MongoDB、Anaconda、Socket、Temporal、CircleCI、およびLocalStackなどの主要企業で採用されており、Google Cloud、JFrog Xray、Snyk、CNCFプロジェクトなどと提携してイメージをスキャナーやインフラストラクチャに組み込んでいます。Dockerはまた、MCPサーバー(Mongo, Grafana, GitHub)へのハードニング原則の拡張計画を立てており、既存コンテナをスキャンし、同等のハード化イメージを推奨または適用できる実験的AIアシスタントも提供しています。

このローンチは、2021年以降3倍に増加したと報告されているサプライチェーン攻撃による6,000億ドルの損害という脅威への対応として位置付けられており、Christian Dupuis氏とMichael Donovan氏が「コンテナセキュリティの分水嶺」と呼ぶ瞬間を示しています。DockerはDHI以外にもコンテナセキュリティ機能の革新を継続する予定です

本文

コンテナ―が生産環境への道標となる理由

コンテナはほとんどの開発者にとって製品化への普遍的なルートであり、Docker はこのエコシステムを常に支えてきました。
Docker Hub では月間 200 億件以上のプルが記録されており、現在組織の約 90 % がソフトウェアデリバリ ワークフローでコンテナを利用しています。この事実は私たちに責任を課します:世界中のソフトウェアサプライチェーンを安全に保つ手助けです。

なぜ

サプライチェーン攻撃が急増しています。2025 年には 600 億ドル以上の被害が発生し、2021 年から 3 倍になりました。誰もが対象であり、言語・エコシステム・ビルド・配布のすべての段階が狙われます。

このため、私たちは 2025 年 5 月に Docker Hardened Images(DHI) を発表しました。これは安全かつミニマルで本番環境向けのイメージセットです。以降、1,000 件以上のイメージと Helm チャートを強化しています。今日、DHI をすべての開発者に無料でオープンソースとして提供し、26 億件を超えるコンテナエコシステムへ新たな業界標準を確立します。

DHI は完全にオープンで、利用・共有・構築にライセンスの不安はありません。Apache 2.0 ライセンスでサポートされており、最初のプルから安全でミニマルな本番環境基盤を提供します。

もし「あり得ないほど良い」と感じるなら、要点は次のとおりです:すべての開発者・アプリケーションは制限なく DHI を使用でき(そしてすべき)です。継続的なセキュリティパッチ(7 日以内に適用)、規制産業向けイメージ(FIPS、FedRAMP など)、当社の安全ビルドインフラ上でカスタマイズしたイメージ、または EOL 後のパッチが必要な場合でも、DHI は商用オファリングを簡単に提供します。

DHI の導入以来、Adobe や Qualcomm などの大手企業が Docker を選び、全社的なセキュリティを確保しています。Attentive や Octopus Deploy などのスタートアップは、コンプライアンスと販売を加速させ、大規模ビジネスへ拡大しています。

Docker Hardened Images の哲学

ベースイメージは最初のレイヤーからアプリケーションのセキュリティを決定します。そのため、何が含まれているかを正確に知ることが重要です。

  1. 完全な透明性

    • DHI は攻撃面を縮小する distroless ランタイムを使用しつつ、開発者ツールは保持します。
    • すべてのイメージには完全かつ検証可能な SBOM が付属します。
    • 各ビルドは SLSA Build Level 3 の起源情報(provenance)を提供します。
    • 脆弱性は公開 CVE データに基づいて評価され、修正が行われていない場合でも隠しません。
    • すべてのイメージには真正性証明が付随します。

  2. 簡単な移行

    • Debian と Alpine の信頼できるオープンソース基盤に構築されています。
    • Docker の AI アシスタントは既存コンテナをスキャンし、等価のハード化イメージを推奨・適用できます(実験的で近日 GA 予定)。

  3. 積極的な SLA と長期サポート

    • DHI Enterprise は重要 CVE の修復に 7 日間のコミットメントを提供し、将来的には < 1 日以内へ縮小します。
    • Docker のビルドインフラを通じて無制限のカスタマイズが可能です(証明書・鍵・システムパッケージ・スクリプト等)。

オファリング

選択肢内容
Docker Hardened Imagesすべて無料。ミニマルなハード化イメージ、簡単移行、完全透明性。Alpine と Debian をベースに構築。
DHI Enterprise厳格なセキュリティ/規制要件を満たす保証:FIPS 対応、STIG 準備済み、CIS ベンチマーク準拠。< 7 日以内(< 1 日へ短縮予定)での SLA 付き修復、無制限カスタマイズ、全カタログアクセス。
DHI Extended Lifecycle Support (ELS)DHI Enterprise の有料追加オプション。上流サポート終了後最大 5 年間のセキュリティカバーを提供し、継続的 CVE パッチ、更新 SBOM と provenance、署名・監査可能性を維持します。

始め方

  1. ランチウェビナーに参加して実際に体験してください。
  2. すぐに Docker Hardened Images を無料で利用開始。
  3. ドキュメントを確認し、DHI をワークフローへ組み込みます。
  4. パートナープログラムに加入し、誰もが安全性を高める手助けをします。

私たちは今始まったばかりです。コンテナセキュリティの未来を共に築きたい方はぜひお会いしましょう。

著者ノート

Christian Dupuis
本日の発表は業界にとって転換点となります。Docker は、すべての開発者・組織・オープンソースプロジェクト向けにアプリケーションをデフォルトで安全に構築する方法を根本的に変えています。このマイルストーンは、SBOM と脆弱性管理システムから始まり、本年初めに DHI を公開し、今ではすべての人が無料で利用できるようになった結果です。共にこの旅路を歩んだ同僚・友人・パートナー・顧客に感謝しています。

Michael Donovan
Docker に入社した理由は、多くの開発者にポジティブな影響を与えることでした。このローンチは、すべての開発者が追加作業なしでアプリケーションを安全に保つ権利を手に入れることを意味します。コンテナエコシステムと私たちが日々利用するデジタル体験に大きな変革をもたらす瞬間です。これまで築いてきたものを誇りに思い、今後の展開に胸を膨らませています。

同じ日のほかのニュース

一覧に戻る →

2025/12/18 1:42

Gemini 3 Flash: Frontier intelligence built for speed

## Japanese Translation: > **概要:** > Google は、低コストで高速な AI モデル Gemini 3 Flash をリリースしました。これは Flash レベルのレイテンシーでプロ級の推論性能を提供します。Gemini アプリと Search の AI Mode では既にデフォルトエンジンとなり、Gemini 2.5 Flash は世界中で追加料金なしで即座に置き換えられます(Gemini 3 Pro が公開された直後)。ベンチマーク結果では、GPQA Diamond で 90.4 %、Humanity’s Last Exam(ツール無し)で 33.7 %、MMMU Pro で 81.2 %、SWE‑bench Verified で 78 % を獲得し、より大きなフロンティアモデルを上回ります。Gemini 3 Flash は Gemini 2.5 Pro より約30 %少ないトークン数で同等以上の性能を発揮します。価格は入力トークンあたり 0.50 USD、出力トークンあたり 3 USD(音声入力は 1 USD/百万トークン)です。JetBrains、Bridgewater Associates、Figma など多くの企業がこのモデルを活用し、コーディング、データ分析、設計ワークフローの高速化に役立てています。開発者は Gemini API(Google AI Studio)、Antigravity、Gemini CLI、Android Studio、Vertex AI、および Gemini Enterprise を通じて Gemini 3 Flash にアクセスできます。このモデルは Gemini アプリと Search 経由で全ユーザーへ展開されるほか、プレビュー API でも利用可能です。

2025/12/18 6:13

I got hacked: My Hetzner server started mining Monero

## Japanese Translation: ヘツナー VPS 上で Coolify をホストし、Next.js ベースの Umami アナリティクスを含む複数コンテナを実行していた。12 月 7 日に、Umami コンテナ内に Monero マイニングボット(`javae`/`xmrig`)が出現し、CPU スパイクが約 15 倍に増大した。著者はマイナーをコンテナに追跡し、CVE‑2025‑66478 ― Next.js の React Server Components “Flight” プロトコルにおける不安全なデシリアライゼーション(Puppeteer を介さずリモートコード実行が可能)を特定した。HTTP リクエストを巧妙に作成することで RCE が発動し、マイナーがインストールされた。ホストファイルシステムのチェック(`/tmp/.XIN-unix/javae`)ではエスケープは確認できず、コンテナは非 root の `nextjs` ユーザーとして実行され、特権モードやボリュームマウントも無いため、すべての悪意あるプロセスは名前空間内に留まった。 著者は侵害されたコンテナを停止・削除し、CPU 負荷を通常状態へ戻した。UFW をデフォルトで受信トラフィックを拒否するよう設定し、SSH、HTTP、および HTTPS のみ許可することで、オープンな PostgreSQL / RabbitMQ ポートを効果的に遮断した。ヘツナーは 2025‑12‑17 にネットワークスキャン検知後、アブズケース警告を送付し、著者が侵害と対策を説明するとともにチケットはクローズされた。 重要な教訓として、十分に隔離されているコンテナでも基盤フレームワークに脆弱性がある場合は突破可能であり、「Next.js を使っていない」状態が第三者ツールの依存関係によって偽りになるケースがあることを指摘した。この事例は、ファイアウォールルール、非 root ユーザー設定、特権モード無し、監視・ fail2ban の導入、およびタイムリーなパッチ適用という防御層の重要性を強調した。 ## 行動計画 - Umami を廃止する - すべてのコンテナに対してユーザー権限とマウントを監査する - SSH アクセスを強化し、アラートを設定する - セキュリティパッチを定期的に適用し、将来のインシデントを防止する ---

2025/12/18 3:15

How SQLite is tested

## Japanese Translation: > **SQLiteのテストインフラは網羅的で、コードベース全体にわたって完全な分岐カバレッジを実現しています。** > プロジェクトには約155.8 KSLOCのCソースがありますが、テストコードは92 M KSLOC以上――約590倍の量――で、すべての行が実行されることを保証しています。4つの独立したハーネスがカバレッジを提供します: > • **TCL**(27.2 KSLOC、1,390個のスクリプトファイル)で51,445件の異なるケースと数百万回の実行があります; > • **TH3**(1,055.4 KSLOC、約76.9 MBのバイナリ)で50,362件の異なるケース、完全カバレッジに必要な2.4 Mインスタンス、および約248.5 Mテストを実行するソークテストがあります; > • **SQL Logic Test (SLT)** はSQLiteとPostgreSQL、MySQL、MS SQL Server、Oracle 10gを比較し、7.2 Mクエリと1.12 GBのデータで検証します; > • **dbsqlfuzz**(libFuzzerベース)はSQLとデータベースファイルの両方を変異させ、約336個のシードファイルから16コアで1日あたり約500 Mテストを提供します。 > 追加の軽量ハーネスには `speedtest1.c`、`mptester.c`、`threadtest3.c`、`fuzzershell.c`、およびJSONBファズラ `jfuzz` が含まれます。 > 異常テストではメモリ不足、I/O障害、クラッシュ/電源損失、およびカスタムmalloc/VFSフックを使用した複合故障をシミュレートし、各障害後に整合性チェックが実行されます。 > ファズリングの歴史はAFL(2014‑2019)からOSS Fuzz(2016年以降)、その後dbsqlfuzz(2018年末)とjfuzz(2024年1月)へ進化しました。`fuzzcheck` スクリプトは毎回ビルド時に興味深いケースを再実行し、新しいバグが自動的にリグレッションテストとして生成されることを保証します。 > リソースリーク検出はTCL/TH3ハーネスに組み込まれており、メモリリーク、ファイルディスクリプタ枯渇、および不要なスレッドが自動的に監視されます。 > カバレッジは `gcov` を使用して100 %の分岐カバレッジと変異テストで達成され、マクロ(`ALWAYS`、`NEVER`、`testcase`)がMC/DCを強制し、コメント(`/*OPTIMIZATION‑IF‑TRUE/FALSE*/`)は偽陽性を防ぎます。 > 結果として、継続的に拡張される高い信頼性のテストスイートが実現し、ユーザーにSQLiteの安定性への確信を提供し、セキュリティ脆弱性から保護し、オープンソースデータベース品質保証のベンチマークとなります。

A Safer Container Ecosystem with Docker: Free Docker Hardened Images | そっか~ニュース