Docker macht gehärtete Container-Images für alle Entwickler zugänglich

Der Container-Spezialist Docker öffnet seine gehärteten Images für das gesamte Entwickler-Ökosystem. Die bisher kommerziell vertriebenen Docker Hardened Images (DHI) stehen ab sofort unter Apache 2.0-Lizenz kostenfrei zur Verfügung. Damit reagiert das Unternehmen auf die drastische Zunahme von Angriffen auf Software-Lieferketten, die 2025 Schäden von über 60 Milliarden US-Dollar verursachten – eine Verdreifachung seit 2021.

Open-Source-Strategie für Container-Sicherheit

Docker positioniert seine Hardened Images als neuen Industriestandard für sichere Container-Entwicklung. Die Plattform verzeichnet monatlich mehr als 20 Milliarden Pulls über Docker Hub, während knapp 90 Prozent der Unternehmen Container in ihre Deployment-Prozesse integriert haben. Mit der Freigabe von DHI als Open Source adressiert Docker die wachsende Verantwortung für die Absicherung globaler Software-Lieferketten.

Die Hardened Images basieren auf den etablierten Open-Source-Distributionen Alpine und Debian. Diese Entscheidung ermöglicht Entwicklerteams einen niedrigschwelligen Migrationspfad, da die Grundlagen bereits bekannt sind und mit geringen Anpassungen übernommen werden können.

Technische Architektur und Sicherheitskonzept

DHI verwendet eine distroless-Laufzeitumgebung, um die Angriffsfläche zu minimieren. Jedes Image enthält eine vollständige Software Bill of Materials (SBOM) sowie SLSA Build Level 3-Herkunftsnachweise. Die Bewertung von Schwachstellen erfolgt ausschließlich anhand öffentlicher CVE-Datenbanken – ohne proprietäre Scoring-Mechanismen oder das Unterdrücken bekannter Sicherheitslücken.

Nach Herstellerangaben resultiert die Härtung in einer drastischen Reduktion bekannter Schwachstellen. Die Imagegrößen verringern sich um bis zu 95 Prozent gegenüber Standard-Basisimages. Jedes Build wird mit Echtheitsnachweis ausgeliefert und bleibt vollständig überprüfbar.

Erweiterung auf Kubernetes und MCP-Server

Neben den Container-Images hat Docker bereits gehärtete Helm Charts für Kubernetes-Umgebungen entwickelt, die ebenfalls als Open Source verfügbar sind. Mit der aktuellen Ankündigung erweitert das Unternehmen sein Portfolio um Hardened MCP Server. Die Sicherheitsprinzipien von DHI werden damit auf die MCP-Schnittstellenebene übertragen, die als zentrale Komponente agentenbasierter Anwendungen gilt.

Zum Start stehen gehärtete Versionen für häufig genutzte MCP-Server bereit, darunter MongoDB, Grafana und GitHub. Docker plant, diese Basis in den kommenden Monaten auf den gesamten Software-Stack auszudehnen – von gehärteten Bibliotheken über Systempakete bis zu weiteren kritischen Komponenten.

Migration und Developer Experience

Die Migration zu gehärteten Images erfordert nach Angaben von Docker konzeptionellen Aufwand. Um diesen zu reduzieren, entwickelt das Unternehmen einen KI-Assistenten, der bestehende Container analysiert und entsprechende gehärtete Alternativen vorschlägt oder direkt anwendet. Die Funktion befindet sich derzeit in der Testphase und soll nach Abschluss der Pilotierungen in die allgemeine Verfügbarkeit überführt werden.

Kommerzielle Angebote für Enterprise-Anforderungen

Während die Basis-Version von DHI kostenfrei bleibt, bietet Docker zwei kommerzielle Erweiterungen für spezifische Unternehmensanforderungen:

DHI Enterprise richtet sich an Organisationen mit strengen Compliance-Vorgaben. Das Angebot umfasst FIPS-konforme und STIG-kompatible Images, CIS-Benchmark-Konformität sowie SLA-gestützte Patches für kritische Schwachstellen innerhalb von sieben Tagen. Docker arbeitet an einer Verkürzung dieser Reaktionszeit auf einen Tag oder weniger.

Enterprise-Kunden erhalten zudem Zugriff auf die Build-Infrastruktur von Docker, um Images anzupassen – etwa durch Integration von Zertifikaten, Schlüsseln oder zusätzlichen Systempaketen. Der Service übernimmt das komplette Lifecycle-Management und garantiert durchgängige Herkunftsnachweise sowie Build-Compliance.

DHI Extended Lifecycle Support (ELS) adressiert das Problem veralteter Software-Versionen. Wenn Upstream-Maintainer den Support einstellen, liefert ELS bis zu fünf weitere Jahre Sicherheitspatches, aktualisierte SBOMs und fortlaufende Signierung für Compliance-Zwecke.

Partnerökosystem und Industrieakzeptanz

Die Freigabe von DHI wird durch ein wachsendes Partnernetzwerk getragen. Google, MongoDB und die Cloud Native Computing Foundation (CNCF) stellen eigene gehärtete Images bereit. Sicherheitsplattformen wie Snyk und JFrog Xray haben DHI direkt in ihre Scanning-Werkzeuge integriert.

Zu den frühen Anwendern gehören Adobe und Qualcomm, die DHI für die Absicherung ihrer Unternehmensumgebungen einsetzen. Startups wie Attentive und Octopus Deploy nutzen die Images, um Compliance-Anforderungen schneller zu erfüllen und ihre Marktfähigkeit im Enterprise-Segment zu beschleunigen.

Strategische Einordnung

Mit der Open-Source-Freigabe knüpft Docker an die Strategie an, die vor über einem Jahrzehnt zur Verbreitung der offiziellen Docker-Images führte. Damals wie heute setzt das Unternehmen auf kostenfreien Zugang, klare Dokumentation und konsistente Wartung als Grundlage für ein breites Entwickler-Ökosystem.

Die Entscheidung fällt in eine Phase, in der Angriffe auf Software-Lieferketten exponentiell zunehmen. Jede Programmiersprache, jedes Ökosystem und jeder Distributions-Schritt gilt als potenzielle Angriffsfläche. Docker positioniert DHI als industrieweiten Standard, der von der ersten Code-Zeile an für Sicherheit sorgen soll.

Verfügbarkeit: Docker Hardened Images stehen ab sofort unter Apache 2.0-Lizenz zur Verfügung. Über 1.000 Images und Helm Charts wurden bereits gehärtet und sind im Docker-Katalog verfügbar.

Mehr Lesestoff:

---

Bild/Quelle: https://depositphotos.com/de/home.html