Docker умер. Да здравствует Docker

30 мая 2024 года ресурс Docker Hub перестал работать на территории России. Служба технической поддержки Docker сообщила, что теперь будет блокировать все IP-адреса, расположенные на Кубе, в Иране, Северной Корее, России, Судане и Сирии. Рассказываем, что это значит и что можем порекомендовать на данном этапе.

Официальный сайт с российского ip-адреса сейчас выглядит так:

Никаких уведомлений для пользователей ресурса перед блокировкой не наблюдалось, кроме новости в разделе «Блог» от 8 марта 2022 г. https://www.docker.com/blog/dockers-response-to-the-invasion-of-ukraine/.

Что это значит и чем грозит?

Ограничение доступа к ресурсу это не только невозможность скачать и загрузить образ, но также невозможность продлить или получить техническую поддержку в необходимом объеме даже по приобретенной подписке (https://www.docker.com/pricing/), так как ресурс в официальном ответе «удалил возможность приобретения подписок из указанных стран».

Самым очевидным способом обхода такого ограничения является подключение к Docker Hub через VPN или использование сторонних «зеркалов» сайта, которых за несколько часов появились десятки. В первом случае, если VPN-сервер не принадлежит лично вам, слабым звеном является само подключение к ресурсу. Во втором — сомнения вызывает скопированная на «зеркало» информация, возрастает риск подмены образа в хранилище.

Рекомендации на будущее

1)    Если вы разработчик и фиксировали у себя SHA-хэш, то в Docker вы можете заказать образ с конкретным SHA.

2)    Для проверки целостности внедрить в процесс разработки практику подписания контейнеров и проверки подписи.

3)    Хранить образы локально.

4)    Подвергать проверке образ.

5)    Использовать в разработке Software Bill of Materials, или SBOM — перечень