Docker für ein sichereres Container-Ökosystem: Kostenlose Docker Hardened Images vorgestellt

 (docker.com)
6 Punkte von GN⁺ 2025-12-19 | 1 Kommentare | Auf WhatsApp teilen
  • Docker Hardened Images (DHI) sind sicherheitsgehärtete, minimal konfigurierte Container-Images für den Produktionseinsatz und werden unter der Apache-2.0-Lizenz veröffentlicht, sodass sie von allen Entwicklern kostenlos genutzt werden können
  • DHI basiert auf Alpine und Debian, lässt sich dadurch leicht in bestehende Workflows integrieren und bietet mit SBOM, SLSA Build Level 3 und transparenter Offenlegung von CVEs eine vertrauenswürdige Sicherheitsgrundlage
  • Das Unternehmensangebot DHI Enterprise umfasst ein CVE-Patch-SLA innerhalb von 7 Tagen, Images für regulierte Branchen (FIPS, STIG) sowie eine angepasste Build-Infrastruktur; Extended Lifecycle Support (ELS) bietet zusätzlich bis zu 5 Jahre Sicherheitssupport
  • Führende Unternehmen wie Adobe, Qualcomm, Google, MongoDB und Anaconda setzen DHI ein oder beteiligen sich als Partner, um die Sicherheit der Software-Lieferkette zu stärken
  • Mit diesem Schritt etabliert Docker einen Industriestandard, mit dem alle Entwickler und Organisationen standardmäßig in einer sicheren Container-Umgebung starten können

Überblick über Docker Hardened Images

  • Docker Hardened Images (DHI) ist ein sicherheitsorientiertes Image-Set, das seit seiner Einführung im Mai 2025 mehr als 1.000 Images und Helm Charts gehärtet hat
    • Ab Dezember 2025 für alle Entwickler kostenlos und als Open Source verfügbar
    • Veröffentlichung unter der Apache-2.0-Lizenz, ohne Einschränkungen bei Nutzung, Weitergabe oder Anpassung
  • Docker Hub verzeichnet monatlich mehr als 20 Milliarden Image-Pulls, und weltweit beteiligen sich über 26 Millionen Entwickler am Container-Ökosystem
  • Lieferkettenangriffe verursachten 2025 Schäden von mehr als 60 Milliarden US-Dollar und haben sich gegenüber 2021 verdreifacht; das unterstreicht die Notwendigkeit stärkerer Sicherheitsmaßnahmen

Zentrale Merkmale von DHI

  • Sicherheitsstruktur mit Fokus auf Transparenz und Minimalismus
    • Verwendung einer distroless Runtime, um die Angriffsfläche zu minimieren und zugleich essenzielle Entwicklungswerkzeuge beizubehalten
    • Alle Images enthalten ein vollständiges SBOM sowie SLSA Build Level 3 Provenance-Informationen
    • Bewertung auf Basis öffentlich zugänglicher CVE-Daten, wodurch Transparenz ohne das Verbergen von Schwachstellen gewahrt bleibt
    • Alle Images enthalten Signaturen zur Verifizierung der Authentizität
  • Auf Basis von Alpine und Debian entwickelt, sodass bestehende Entwicklungsteams sie mit minimalen Änderungen übernehmen können
    • Dockers AI Assistant analysiert bestehende Container und empfiehlt passende gehärtete Images oder unterstützt bei deren automatischer Anwendung (derzeit experimentell)
    Anzeige
  • Beibehaltung von Security by Default bei gleichzeitiger Reduzierung der Image-Größe um bis zu 95 %
    • In DHI Enterprise wird ein nahezu nullnahes CVE-Niveau zugesichert

DHI Enterprise und ELS

  • DHI Enterprise
    • Bereitstellung von FIPS- und STIG-konformen Images für regulierte Branchen und Behörden
    • CIS-Benchmark-Konformität sowie ein SLA für die Behebung kritischer CVEs innerhalb von 7 Tagen
    • Vollständige Kontrolle über Image-Anpassung, Runtime-Konfiguration sowie das Hinzufügen von Zertifikaten und Paketen
    • Über Dockers Build-Infrastruktur werden Build-Provenance und Compliance automatisiert verwaltet
  • DHI Extended Lifecycle Support (ELS)
    • Kostenpflichtige Erweiterungsoption für DHI Enterprise mit zusätzlichen Sicherheitspatches für bis zu 5 Jahre
    • Auch nach dem Ende des Upstream-Supports bleiben fortlaufende CVE-Patches, SBOM-Updates, Signaturen und Auditierbarkeit erhalten
    Anzeige

Ausbau des Ökosystems und Partnerschaften

  • DHI treibt gemeinsam mit Google, MongoDB, CNCF, Snyk und JFrog Xray die Integration in sichere Lieferketten voran
    • Snyk und JFrog Xray integrieren DHI direkt in ihre Scanner
    • Die CNCF bewertet DHI als Beitrag zur Stärkung des Open-Source-Ökosystems
  • Unternehmen wie Adobe, Qualcomm, Attentive und Octopus Deploy erreichen mit DHI bessere Compliance und ein höheres Sicherheitsniveau
  • Führende Technologieunternehmen wie MongoDB, Anaconda, Socket, Temporal, CircleCI und LocalStack unterstützen die Offenheit und Sicherheit von DHI

Docker Hardened Helm Charts und MCP Servers

  • Mit Hardened Helm Charts lassen sich DHI-Images auch in Kubernetes-Umgebungen nutzen
  • Hardened MCP Servers bieten sicherheitsgehärtete Versionen wichtiger MCP-Server wie Mongo, Grafana und GitHub
    • Künftig ist eine Erweiterung auf Sicherheitsbibliotheken und Systempakete geplant
    • Ziel ist es, Sicherheit vom main()-Einstiegspunkt der Anwendung bis zum gesamten Stack zu gewährleisten
Anzeige

Philosophie und Vision von Docker

  • Da Basis-Images die Anwendungssicherheit maßgeblich bestimmen, sind vollständige Transparenz und überprüfbares Vertrauen entscheidend
  • DHI schafft eine Entwicklungsumgebung, in der Sicherheit der Standard ist, sodass alle Entwickler und Organisationen mit derselben Sicherheitsgrundlage starten können
  • Die kostenlose Veröffentlichung steht in der Tradition dessen, dass Docker bereits vor über 10 Jahren Docker Official Images kostenlos bereitgestellt hat
    • Klare Dokumentation, konsistente Wartung und offene Partnerschaften sollen das Sicherheitsniveau der gesamten Branche anheben

So legen Sie los

Fazit

  • Mit DHI bietet Docker allen Entwicklern eine Container-Umgebung, in der Sicherheit standardmäßig aktiviert ist
  • Dieser Schritt beschleunigt die branchenweite Standardisierung der Sicherheit von Software-Lieferketten und zielt auf den Aufbau eines nachhaltigen Sicherheitsökosystems auf Basis von Open-Source-Zusammenarbeit ab

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-12-19
Hacker-News-Kommentare

  • Dockers Hardened Images (DHI) sind jetzt für alle kostenlos verfügbar
    In regulierten Branchen (Banken, Versicherungen, Behörden usw.) dürfte das Interesse an solchen sicherheitsgehärteten Images groß sein

    • Nach dem früheren Fall, bei dem eine kostenlose Registry kostenpflichtig wurde, ist es schwer, Dockers Gratispolitik zu vertrauen
      Dieses Bait-and-Switch-Muster ist in der gesamten Branche zu verbreitet geworden
    • Aus Sicht des CEO von VulnFree wirkt diese Ankündigung wie eine reine Marketingstrategie
      Chainguard wächst deutlich stärker als Docker, und Docker scheint diesem Trend hinterherzulaufen
    • Ich wollte ein Image pullen, bekam aber einen 401-Fehler. Ist ein Login erforderlich? Für etwas Kostenloses ist das ein seltsamer Zugangsweg
    • Wegen der Login-Schranke hatte ich schon keine Lust mehr, es überhaupt auszuprobieren. Unnötige Reibung
    • Diese Mitteilung selbst vermittelt den Eindruck, als wäre sie von einem LLM erzeugt worden

  • Wirkt wie Dockers Reaktion auf das Ende der Helm-Charts von Bitnami/VMWare/Broadcom

    • Vermutlich eine Reaktion auf Chainguards starkes Wachstum. VCs investieren Hunderte Millionen Dollar in Security-Images, nicht in AI
    • Das denke ich auch

  • Beim ersten Hinsehen ist das keine einfach austauschbare Lösung
    Es gibt eine Login-Pflicht, und das PAT (Personal Access Token) ist an ein persönliches Konto gebunden
    Aus Startup-Sicht gibt es keinen Grund, wegen eines Enterprise-Plans anzufragen
    Wenn man es ohne CI/CD nur für lokale Entwicklung nutzen kann, ist der praktische Nutzen begrenzt

    • Docker for Teams liegt bei etwa 15 Dollar im Monat, und Enterprise Hardened Images sind separat für Offline-Mirroring oder regulatorische Anforderungen gedacht
      Der Kernwert von CVE-gehärteten Images ist Zuverlässigkeit im großen Maßstab. Für Teams ist es in der Praxis schwer, selbst zu scannen und zu patchen

  • Der Markt für gehärtete Images wirkt gesättigt
    Selbst auf der KubeCon gab es mindestens drei Unternehmen mit demselben Angebot
    Chainguard hat den Markt zuerst eröffnet und mit 0-CVE-Images stark dabei geholfen, Security-Reviews bei Startups zu bestehen
    Aber es kommen mehr Wettbewerber wie Minimus und Ironbank hinzu. Positiv für das Ökosystem, aber der Markt ist vielleicht nicht so groß

    • Das eigentliche Problem ist nicht Marktsättigung, sondern dass der Markt selbst verschwinden könnte, wenn Docker es kostenlos anbietet
    • Chainguard expandiert in VM-Images und sprachspezifische Repositories, aber außerhalb regulierter Branchen ist fraglich, wie groß die Zahlungsbereitschaft ist
      Wenn Docker es kostenlos anbietet, sinkt die Einstiegshürde und man probiert es leichter aus
    • Ironbank-Images können auch von Organisationen außerhalb des DoD genutzt werden. Man muss nur ein Konto registrieren
    • Aus Sicht des CEO von VulnFree weiß ich nicht, ob Chainguard wirklich zuerst damit angefangen hat, aber es gibt weiterhin ungedeckte Nachfrage
    • Ironbank hat so etwas tatsächlich schon vor Chainguard gemacht. Die Qualität war jedoch niedrig, und Container gingen oft kaputt
      Wegen unterschiedlicher glibc-Versionen kam es zu Segfaults; der Härtungsprozess war also kaum mehr als simples Kopieren von Binärdateien
      In Behörden oder regulierten Branchen bleibt die Nachfrage groß, aber als eigenständiges Geschäft ist das langfristig kaum tragfähig
      Bei Chainguard wirkt es so, als halte man sich dank des Rufs der Gründer über Wasser, und letztlich ähnelt das dem Geschäftsmodell von Linux-Distributionen
      Für Unternehmen, die bereits eine Linux-Distribution betreiben, ist so ein Service eine naheliegende Erweiterung

  • Als Docker-Mitarbeiter möchte ich secure-by-default zum Ausgangspunkt für alle Entwickler machen
    Wir haben allen Images VEX-Dokumente, Attestations und Metadaten beigefügt, um die Transparenz zu erhöhen
    Das soll sich nicht nur auf Base Images beschränken, sondern auf den gesamten Stack einschließlich MCP-Servern ausweiten
    In der Enterprise-Stufe bieten wir fortlaufende Patch-SLAs, FIPS-Varianten und Security-Customizing kostenpflichtig an
    So können wir für die Community einen kostenlosen Katalog aufrechterhalten

    • Das Dockerfile-Format in der als Beispiel genannten PHP-Image-Spezifikation wirkt ungewohnt
      Ich frage mich, ob es dafür ein separates Tool zum Bauen gibt

  • Bei Dockers Gratispolitik bleibt die Sorge, dass jederzeit auf kostenpflichtig umgestellt werden könnte
    So war es früher schon bei Docker Desktop und der Registry

    • Falls so etwas erneut passiert, werden Unternehmen vorsichtiger damit sein, sich auf kostenlose Dienste zu verlassen
      Beispiel: Sammelklage wegen eingestellter kostenloser Google-G-Suite-Konten
    • Noch ärgerlicher war, dass Docker Konfigurationen außerhalb der eigenen Registry blockiert hatte
      Deshalb hat Red Hat Podman entwickelt

  • Es ist interessant, dass Dockers Ankündigung zeitlich mit dem Ende der kostenlosen gehärteten Images von Bitnami zusammenfällt
    Ich frage mich, ob sich hier ein weiteres „erst kostenlos, dann kostenpflichtig“-Szenario wiederholt
    Docker scheint immer einer VC-Wachstumsstrategie zu folgen

    1. Das Ökosystem mit einem Gratisangebot aufbauen
    2. Nutzer binden und dann monetarisieren
    3. Einnahmen erzielen
    • Unser Team hat die Infrastruktur bereits von Bitnami-Images weg migriert. Docker vertrauen wir nicht mehr

  • Die Build-Skripte, die Docker pflegen muss, sind ziemlich komplex
    Beispiel: Traefik-Build-YAML
    Nix hingegen hat den Großteil der Software bereits paketiert, und die Containerisierung ist ohne zusätzliche Arbeit möglich
    Reproduzierbare Builds und Caching-Infrastruktur im großen Maßstab gibt es dort bereits
    Um dieses Niveau zu erreichen, müsste Docker ohne Community alles selbst aufbauen

  • Es soll Open Source sein, aber beim gehärteten Traefik-Image ist kein Quellcode zu sehen
    Das Katalog-YAML ist nur eine einfache Konfigurationsdatei, keine Build-Datei
    Offenbar braucht man ein Tool namens dhi, aber dazu gibt es keine Dokumentation
    Wenn man in einer Offline-Umgebung nicht selbst bauen kann, ist es schwer, das als echtes Open Source zu sehen

  • Aus Sicht des CEO von VulnFree ist Dockers aktuelle Ankündigung Marketing, um Chainguards Momentum zu bremsen
    In diesem Bereich gibt es wenig Innovation, und meist werden nur Varianten von Chainguards Modell nachgebaut
    Nach Chainguards Finanzierungsrunde strömten VCs in den Markt für „Security Images“, Bitnami versuchte zu monetarisieren, und Docker füllt diese Lücke mit einem kostenlosen Angebot
    Warum der Quellcode nicht offengelegt wird, ist jedoch klar — damit die Eintrittsbarriere nicht verschwindet
    Bei den aktuellen Preisen ist es günstiger, selbst zu bauen
    Der echte Mehrwert von VulnFree liegt in maßgeschneiderten gehärteten Images, die an die Workflows von Entwicklungsteams angepasst sind