Docker stelt voortaan meer dan 1.000 geharde containerimages gratis en volledig open source ter beschikking. Hiermee wil het bedrijf een nieuwe standaard zetten voor de beveiliging van containerapplicaties.
Docker heeft zijn volledige catalogus van Docker Hardened Images (DHI), gebaseerd op de populaire open source-distributies Debian en Alpine, vrijgegeven onder een Apache 2.0-licentie. Ontwikkelaars, organisaties en overheden mogen de images vrij gebruiken, aanpassen en herverdelen zonder beperkingen. Volgens Docker verminderen de geharde images tot 95 procent van bekende kwetsbaarheden vergeleken met standaard community-images.
Elke image bevat vier bouwstenen:
- Een volledige software bill of materials (SBOM);
- Transparante en publieke CVE-data;
- Een herleidbare constructieketen volgens SLSA-niveau 3;
- Cryptografisch bewijs van authenticiteit.
Om de overstap te vereenvoudigen en aan te moedigen, kan de AI-assistent van Docker bestaande containers scannen en voorstellen doen voor een vergelijkbare geharde image.
Ook voor AI
Docker breidt zijn aanpak ook uit naar AI-infrastructuur. De verhardingsmethodiek wordt toegepast op zogeheten Model Context Protocol (MCP)-servers, die AI-assistenten verbinden met externe tools en gegevensbronnen. De eerste geharde images zijn beschikbaar voor meer dan tien populaire servers, waaronder Grafana, MongoDB en GitHub.
lees ook
Docker lanceert Model Runner voor lokale AI-modellen
Docker merkt op dat de adoptie van DHI sinds de lancering in een stroomversnelling zit, met organisaties zoals Adobe en Crypto.com die al organisatiebreed overstappen op de geharde images. De beslissing om DHI gratis en open source te maken, is bedoeld om beveiliging aan de basis beschikbaar te maken voor elke ontwikkelaar, ongeacht de schaal of sector.
Betaalde variant
Docker wil natuurlijk ook de optie bieden aan gebruikers om wel in een betaald model te stappen. Voor bedrijven die aanvullende eisen hebben rond compliance of snellere beveiligingsupdates, biedt Docker de betaalde formules DHI Enterprise en DHI Extended Lifecycle Support (ELS) aan. DHI Enterprise belooft onder andere CVE-oplossing binnen zeven dagen, en op termijn binnen 24 uur. Daarnaast zijn de images aanpasbaar en geschikt voor FIPS- en STIG-naleving.
Met DHI ELS krijgen bedrijven tot vijf jaar extra beveiligingsondersteuning na het officiële einde van de ondersteuning van de onderliggende distributie. Dit omvat onder andere verdere CVE-updates en het behoud van cryptografische ondertekening en controleerbaarheid voor audits.