Docker宣布先前在5月推出的Docker安全强化镜像文件(Docker Hardened Images,DHI)改为免费发布,并以Apache 2.0授权开源。Docker指出,这是容器基础镜像文件的安全默认值调整,试图让开发团队从第一次拉取镜像文件,就能获得较小的攻击面与较完整的可验证资讯。
Docker将DHI视为容器基础镜像文件的安全默认选项,同时强调透明度,包含每个镜像文件都提供可验证的软件物料清单(SBOM)、SLSA第3级构建来源证明(Provenance),以及以公开CVE数据进行弱点披露与评估。Docker也提到,不会为了让弱点扫描仪维持绿灯而刻意隐藏弱点,即使修补仍在进行,也会维持披露。
DHI采用无发行版(Distroless)执行环境来缩小攻击面,同时保留开发与执行常见工作负载所需的基本工具。Docker要求镜像文件的组成、构建过程、签章与弱点状态都要能被外部检查与验证,并称相较一般镜像文件,DHI能明显降低CVE数量,并可让镜像文件体积最高缩小95%。
DHI以Alpine与Debian基础创建,并强调高兼容性与低搬迁成本。官方也提到,Docker的实验性AI助理可扫描既有容器并建议对应的强化镜像文件,该功能目前标示为实验性质。
Docker提供DHI三层服务符合不同合规与运维需求,免费开源版本提供无限制使用的基础强化镜像文件。DHI Enterprise则面向合规与高敏感产业,主打关键CVE在7天内修补的服务承诺,并提供FIPS等需求的镜像文件版本与更多定制化能力。至于延长生命周期支持(ELS)则作为Enterprise的加购项目,即便在上游停止支持后,仍可再延伸最多5年的安全修补与可审核数据更新,用于回应扫描、审核与合规框架对可验证修补的需求。
Docker把强化安全的范围,从基础镜像文件推进到Kubernetes与代理式应用相关组件。既有的Hardened Helm Charts让用户在Kubernetes环境中采用DHI,这次则添加Hardened MCP Servers,先提供Mongo、Grafana与GitHub等常用MCP服务器的强化版本,并纳入后续将全面强化的MCP服务器目录规划。
