Docker Engine 28はコンテナセキュリティを強化します

Docker Engine 28は、未公開のコンテナポートへのLANアクセスをブロックすることでセキュリティを強化し、露出リスクを低減します。

Dockerは、コンテナ内でアプリケーションを開発、出荷、実行するための主要なオープンソースプラットフォームであり、デフォルトでコンテナネットワーキングを強化する改善が盛り込まれたDocker Engine 28を正式にリリースしました。

以前は、Dockerのデフォルトの「ブリッジ」ネットワーク上のコンテナは、ユーザーのホストファイアウォールが許可されている場合にアクセス可能でした。しかし、Docker v28からは、これらの未公開ポートがデフォルトでブロックされ、これらのローカルネットワークの脆弱性への扉が実質的に閉ざされました。

誰が影響を受ける可能性がありますか？新しいバージョンにアップグレードすることで、ほとんどのDockerユーザーの単一のマシンでセキュリティがシームレスに向上します。Docker Desktopユーザーは、内部ネットワークが未公開ポートの保護をすでに含んでいるため、影響を受けません。

見出しのセキュリティ更新を超えて、Docker Engine 28は幾つかの便利な追加機能と改善をもたらします。

• Dockerは、Linuxカーネルで新しいフィルタールールを処理するために、明示的にipsetサポートを要求するようになりました。
• 開発者は現在、docker run --mount type=image,image-subpath=[subpath] ... を使用して、イメージまたはイメージ内の特定のパスをコンテナ内に直接マウントできます。
• docker images --treeは、ツリー状の出力で追加のメタデータを表示し、ローカルイメージとその関係を視覚化しやすくします。
• docker load &47; save &47; history コマンドは現在 --platform を受け入れ、マルチアーキテクチャのイメージでの単一プラットフォーム操作を可能にします。
• コンテナが起動すると、アドレスを正しい新しいMACに結びつけるためにARPまたは隣接広告をブロードキャストします。

毎回の新しいDockerリリースと同様に、より速いブリッジ接続から、docker exportのようなコマンドでの一貫した動作まで、さまざまな小さな問題が解決されました。Windowsユーザーは、Dockerがコンテナを子プロセスとして管理するオプションのおかげで、より安定したコンテナの使用を実感するかもしれません。

すべての変更に関する詳細情報は、Docker Engine 28のリリースノートを参照するか、Docker Blogのこの記事をご覧ください。