Docker für ein sichereres Container-Ökosystem: Kostenlose Docker Hardened Images vorgestellt

• Docker Hardened Images (DHI) sind sicherheitsgehärtete, minimal konfigurierte Container-Images für den Produktionseinsatz und werden unter der Apache-2.0-Lizenz veröffentlicht, sodass sie von allen Entwicklern kostenlos genutzt werden können
• DHI basiert auf Alpine und Debian, lässt sich dadurch leicht in bestehende Workflows integrieren und bietet mit SBOM, SLSA Build Level 3 und transparenter Offenlegung von CVEs eine vertrauenswürdige Sicherheitsgrundlage
• Das Unternehmensangebot DHI Enterprise umfasst ein CVE-Patch-SLA innerhalb von 7 Tagen, Images für regulierte Branchen (FIPS, STIG) sowie eine angepasste Build-Infrastruktur; Extended Lifecycle Support (ELS) bietet zusätzlich bis zu 5 Jahre Sicherheitssupport
• Führende Unternehmen wie Adobe, Qualcomm, Google, MongoDB und Anaconda setzen DHI ein oder beteiligen sich als Partner, um die Sicherheit der Software-Lieferkette zu stärken
• Mit diesem Schritt etabliert Docker einen Industriestandard, mit dem alle Entwickler und Organisationen standardmäßig in einer sicheren Container-Umgebung starten können

Überblick über Docker Hardened Images

• Docker Hardened Images (DHI) ist ein sicherheitsorientiertes Image-Set, das seit seiner Einführung im Mai 2025 mehr als 1.000 Images und Helm Charts gehärtet hat
  • Ab Dezember 2025 für alle Entwickler kostenlos und als Open Source verfügbar
  • Veröffentlichung unter der Apache-2.0-Lizenz, ohne Einschränkungen bei Nutzung, Weitergabe oder Anpassung
• Docker Hub verzeichnet monatlich mehr als 20 Milliarden Image-Pulls, und weltweit beteiligen sich über 26 Millionen Entwickler am Container-Ökosystem
• Lieferkettenangriffe verursachten 2025 Schäden von mehr als 60 Milliarden US-Dollar und haben sich gegenüber 2021 verdreifacht; das unterstreicht die Notwendigkeit stärkerer Sicherheitsmaßnahmen

Zentrale Merkmale von DHI

• Sicherheitsstruktur mit Fokus auf Transparenz und Minimalismus
  • Verwendung einer distroless Runtime, um die Angriffsfläche zu minimieren und zugleich essenzielle Entwicklungswerkzeuge beizubehalten
  • Alle Images enthalten ein vollständiges SBOM sowie SLSA Build Level 3 Provenance-Informationen
  • Bewertung auf Basis öffentlich zugänglicher CVE-Daten, wodurch Transparenz ohne das Verbergen von Schwachstellen gewahrt bleibt
  • Alle Images enthalten Signaturen zur Verifizierung der Authentizität
• Auf Basis von Alpine und Debian entwickelt, sodass bestehende Entwicklungsteams sie mit minimalen Änderungen übernehmen können
  • Dockers AI Assistant analysiert bestehende Container und empfiehlt passende gehärtete Images oder unterstützt bei deren automatischer Anwendung (derzeit experimentell)
• Beibehaltung von Security by Default bei gleichzeitiger Reduzierung der Image-Größe um bis zu 95 %
  • In DHI Enterprise wird ein nahezu nullnahes CVE-Niveau zugesichert

DHI Enterprise und ELS

• DHI Enterprise
  • Bereitstellung von FIPS- und STIG-konformen Images für regulierte Branchen und Behörden
  • CIS-Benchmark-Konformität sowie ein SLA für die Behebung kritischer CVEs innerhalb von 7 Tagen
  • Vollständige Kontrolle über Image-Anpassung, Runtime-Konfiguration sowie das Hinzufügen von Zertifikaten und Paketen
  • Über Dockers Build-Infrastruktur werden Build-Provenance und Compliance automatisiert verwaltet
• DHI Extended Lifecycle Support (ELS)
  • Kostenpflichtige Erweiterungsoption für DHI Enterprise mit zusätzlichen Sicherheitspatches für bis zu 5 Jahre
  • Auch nach dem Ende des Upstream-Supports bleiben fortlaufende CVE-Patches, SBOM-Updates, Signaturen und Auditierbarkeit erhalten

Ausbau des Ökosystems und Partnerschaften

• DHI treibt gemeinsam mit Google, MongoDB, CNCF, Snyk und JFrog Xray die Integration in sichere Lieferketten voran
  • Snyk und JFrog Xray integrieren DHI direkt in ihre Scanner
  • Die CNCF bewertet DHI als Beitrag zur Stärkung des Open-Source-Ökosystems
• Unternehmen wie Adobe, Qualcomm, Attentive und Octopus Deploy erreichen mit DHI bessere Compliance und ein höheres Sicherheitsniveau
• Führende Technologieunternehmen wie MongoDB, Anaconda, Socket, Temporal, CircleCI und LocalStack unterstützen die Offenheit und Sicherheit von DHI

Docker Hardened Helm Charts und MCP Servers

• Mit Hardened Helm Charts lassen sich DHI-Images auch in Kubernetes-Umgebungen nutzen
• Hardened MCP Servers bieten sicherheitsgehärtete Versionen wichtiger MCP-Server wie Mongo, Grafana und GitHub
  • Künftig ist eine Erweiterung auf Sicherheitsbibliotheken und Systempakete geplant
  • Ziel ist es, Sicherheit vom main()-Einstiegspunkt der Anwendung bis zum gesamten Stack zu gewährleisten

Philosophie und Vision von Docker

• Da Basis-Images die Anwendungssicherheit maßgeblich bestimmen, sind vollständige Transparenz und überprüfbares Vertrauen entscheidend
• DHI schafft eine Entwicklungsumgebung, in der Sicherheit der Standard ist, sodass alle Entwickler und Organisationen mit derselben Sicherheitsgrundlage starten können
• Die kostenlose Veröffentlichung steht in der Tradition dessen, dass Docker bereits vor über 10 Jahren Docker Official Images kostenlos bereitgestellt hat
  • Klare Dokumentation, konsistente Wartung und offene Partnerschaften sollen das Sicherheitsniveau der gesamten Branche anheben

So legen Sie los

• Kostenlose Nutzung über den Docker Hardened Images Katalog
• Integration in den Workflow über die offizielle Dokumentation
• Teilnahme am Partnerprogramm, um das Sicherheitsökosystem zu stärken
• Docker begrüßt die Mitwirkung von Entwicklern, die gemeinsam die Zukunft der Container-Sicherheit gestalten wollen

Fazit

• Mit DHI bietet Docker allen Entwicklern eine Container-Umgebung, in der Sicherheit standardmäßig aktiviert ist
• Dieser Schritt beschleunigt die branchenweite Standardisierung der Sicherheit von Software-Lieferketten und zielt auf den Aufbau eines nachhaltigen Sicherheitsökosystems auf Basis von Open-Source-Zusammenarbeit ab