في خطوة كبيرة بتعيد تشكيل مشهد عمليات التطوير والأمن (DevSecOps)، أعلنت شركة Docker أن كتالوج “الصور المحصنة” (Hardened Images) الخاص بها صار الحين مجاني ومفتوح المصدر.
بعد ما كانت هالميزة حصرية ومشفرة خلف اشتراكات المؤسسات، يهدف هذا التغيير لتأسيس معيار أمني جديد لسلسلة توريد البرمجيات.
بالنسبة لفرق الـ DevOps، ومدراء البحث والتطوير (R&D)، ومدراء أمن المعلومات (CISOs)، هذا الإعلان يمثل نقطة تحول حاسمة:
مبدأ “الآمان بشكل افتراضي” (Secure by default) ما عاد ميزة رفاهية، بل صار أساس لا غنى عنه.
إليكم تفصيل لشو يعني هذا لبنيتكم التحتية وكيف تقدرون تستفيدون من هالعرض الجديد.
شو هي “الصور المحصنة” (Hardened Images)؟
باختصار، الصور المحصنة هي صور حاويات (Container Images) تم تقليص حجمها وتأمينها بشكل كبير لاستخدامها في البيئات الإنتاجية (Production).
على عكس الصور الأساسية القياسية (مثل صور ubuntu أو node العادية)، اللي غالبًا تجي “منتفخة” (bloated) وبرامج وأدوات إدارة حزم ومكتبات غير مستخدمة، تتبع الصور المحصنة نهج “الحد الأدنى” (distroless). يعني تشيل كل شي غير ضروري تمامًا لتشغيل التطبيق.
أهم الخصائص التقنية تشمل:
- تقليص سطح الهجوم (Reduced Attack Surface): من خلال إزالة المكونات غير الأساسية (مثل bash أو apt أو apk)، يتم تقليل نقاط الدخول المحتملة للمهاجمين بنسبة توصل لـ 95%.
- بدون صلاحيات الجذر (Non-Root by Default): هذي الصور مصممة لتشتغل كمستخدم غير مميز، مما يقلل من مخاطر هجمات اختراق الحاويات.
- مصدر موثوق (Proven Provenance): تجي مع شهادة SLSA Build Level 3، لضمان إن عملية البناء محمية من التلاعب.
- الشفافية: كل صورة تجي مع فاتورة مواد برمجية (SBOM) موقعة رقمياً وبيانات شفافة حول الثغرات الأمنية (CVE).
شو يعني هالتغيير للمستخدمين؟
قرار Docker بجعل هذي الصور مفتوحة المصدر تحت رخصة Apache 2.0 يعتبر ديمقراطية للوصول إلى أمان عالي الجودة.
- توحيد أمان سلسلة التوريد:
بالنسبة لمدراء الأمن (CISOs)، هذا يلغي عناء تبرير ميزانية خاصة للصور الأساسية الآمنة. فرق التطوير يقدرون الحين يسحبون صور آمنة فوراً بدون تأخيرات إدارية. هذا يرفع “الحد الأدنى” لأمان الحاويات—حتى الشركات الناشئة الصغيرة تقدر الحين تنشر تطبيقاتها بنفس المعايير الصارمة اللي تستخدمها الشركات الكبيرة.
- كفاءة تشغيلية لفرق الـ DevOps:
لخبراء الـ DevOps، هذا يقلل من التعب في صيانة “الصور الذهبية” (golden images) المخصصة. بدل ما تبني وترقع (patch) صورك الأساسية من الصفر، تقدر تعتمد على كتالوج Docker المصان. هذا يرجع مسؤولية ترقيع نظام التشغيل الأساسي (مثل طبقات Alpine أو Debian) لشركة Docker، ويخلي فريقك يركز على منطق التطبيق نفسه.
- اعتماد بدون تعقيد:
لأن هذي الصور مبنية على أسس مألوفة مثل Alpine و Debian، فهي مصممة لتكون بديل مباشر (drop-in replacements). الانتقال عادةً يحتاج تغييرات بسيطة في ملفات Dockerfiles، مع إن المطورين لازم يحطون في بالهم عدم وجود “shell” عند عملية التصحيح (debugging)، مما يتطلب استخدام حاويات تصحيح مؤقتة (ephemeral debug containers).
شو اللي يتوفر بالمجان؟
فئة “المجاني” تعتبر قوية وتغطي احتياجات معظم حالات التطوير والإنتاج العامة.
- الوصول للكتالوج الكامل: أكثر من 1000 صورة محصنة ومخططات Helm متاحة بدون تكلفة.
- بيانات الأمان الوصفية: تحصل على وصول كامل لبيانات SBOM، وتقارير الثغرات، وبيانات مصدر SLSA.
- رخصة مفتوحة المصدر: الصور مرخصة تحت Apache 2.0، مما يسمح بالاستخدام والتعديل الواسع بدون التقيد بمورد معين.
تحديثات البناء: يتم فحص الصور وتحديثها باستمرار من قبل Docker للحفاظ على عدد الثغرات (CVE) قريب من الصفر.
شو اللي يكلف فلوس؟ (الفرق في باقة الشركات)
بينما الملفات نفسها مجانية، تبقى الضمانات وميزات الامتثال مدفوعة. مدراء الـ R&D والـ CISOs في القطاعات الخاضعة لتنظيمات صارمة لا زالوا محتاجين يشوفون باقة الشركات (Enterprise Tier).
أهم الفروقات في النموذج المدفوع تشمل:
| الميزة | الباقة المجانية | باقة الشركات (Enterprise) |
| اتفاقية مستوى الخدمة (SLA) للتحديثات | تحديثات بأفضل جهد (Best effort) | SLA لمدة 7 أيام لمعالجة الثغرات الحرجة (مع خطة للوصول لـ 24 ساعة) |
| الامتثال (Compliance) | أمان قياسي | نسخ مفعلة لـ FIPS وجاهزة لـ DoD STIG |
| التخصيص | صور قياسية | تخصيص آمن مع الحفاظ على موثوقية المصدر |
| دعم الأنظمة القديمة | غير متوفر | دعم ممتد لدورة الحياة (ELS): تحديثات أمنية لمدة توصل لـ 5 سنوات بعد انتهاء دعم المصدر الأصلي |
الخلاصة:
خطوة Docker تعترف إنه في عام 2026، الأمان ما يقدر يكون ميزة إضافية؛ لازم يكون هو الأساس.
من خلال جعل الصور المحصنة مجانية، تسمح Docker للمؤسسات بتأمين سلسلة التوريد الخاصة بها بشكل استباقي. لمعظم المستخدمين، الباقة المجانية تعتبر ترقية بديهية عن الصور القياسية.
لكن، للمؤسسات اللي تتطلب امتثال تنظيمي صارم (مثل FedRAMP, HIPAA) أو ضمانات ملزمة لتصحيح الثغرات، يظل النموذج التجاري ضروري.
نبذة عن ALM Toolbox:
تعتبر ALM Toolbox شريك رسمي مفضل (Preferred Partner) لشركة Docker في العديد من الدول، وتمتلك خبرة واسعة مع منتجات Docker سواء على الجانب المهني/التقني أو الجانب التجاري (مبيعات التراخيص وإدارة التراخيص بفعالية من حيث التكلفة).
تقدم الشركة مجموعة واسعة من الحلول حول المنتج، بما في ذلك تصميم وإعداد البيئات، الخدمات المدارة على السحابة الخاصة، الاستشارات، مبيعات التراخيص، والتكامل مع الأدوات المكملة (مثل GitHub, GitLab, Jenkins, SonarQube, Argo, Bitbucket, Azure DevOps, Kubernetes)، والتدريب، والمزيد.
لمزيد من التفاصيل، تواصلوا معنا عبر: docker@almtoolbox.com
أو اتصلوا بنا على+971527145614: أو 866-503-1471 (الولايات المتحدة / كندا)
