Минус 95% веса и 0 уязвимостей: Docker открыл доступ к своим лучшим образам
NewsMakerЕсли вы собираете контейнеры для продакшена, у вас появился новый стандарт «по умолчанию» в ответ на угрозы цепочкам поставок.
Компания Docker объявила , что делает свои контейнерные образы Docker Hardened Images (DHI) бесплатными и полностью открытыми: их можно использовать, распространять и дорабатывать без ограничений по лицензии Apache 2.0. Идея проста — дать разработчикам безопасную «точку старта» для продакшена уже с первого docker pull, на фоне бурного роста атак на цепочки поставок.
Компания объясняет шаг масштабом ответственности: Docker Hub, по её данным, обслуживает более 20 миллиардов скачиваний образов в месяц, а контейнеры стали стандартным путём доставки софта для подавляющего большинства организаций. При этом атаки на цепочку поставок , как утверждает Docker, стремительно дорожают для индустрии: в 2025 году ущерб превысил 60 млрд долларов, что в несколько раз больше, чем в 2021-м. Логика Docker такая: если базовые образы «на старте» небезопасны, то дальше можно сколько угодно строить процессы, но фундамент всё равно будет трещать.
DHI компания запустила в мае 2025 года как набор минимальных, готовых к «проду» образов, уже настроенных с прицелом на снижение поверхности атаки. С тех пор, пишет Docker, в каталоге «закалили» более тысячи образов и Helm-чартов. Теперь же этот набор открывают для всех разработчиков, а платными остаются те сценарии, где нужны жёсткие гарантии и обслуживание: например, постоянные обновления безопасности с обязательством закрывать критические уязвимости в срок до 7 дней, сборка кастомных образов на инфраструктуре Docker, поддержка для регулируемых отраслей (вроде требований FIPS/FedRAMP) или патчи после окончания поддержки upstream-проектов.
Одна из ключевых идей DHI — максимальная прозрачность. Docker подчёркивает, что каждый образ сопровождается проверяемым SBOM, а процесс сборки — «происхождением» уровня SLSA Build Level 3. Отдельный акцент — на уязвимостях: компания заявляет, что не будет «прятать» CVE ради красивого отчёта сканера и предпочитает показывать реальную картину даже тогда, когда исправление ещё в работе. На выходе обещают меньше уязвимостей, более компактные образы (вплоть до сокращения размера на 95%) и безопасные настройки «по умолчанию», без отказа от привычных для индустрии баз — Alpine и Debian.
Компания Docker объявила , что делает свои контейнерные образы Docker Hardened Images (DHI) бесплатными и полностью открытыми: их можно использовать, распространять и дорабатывать без ограничений по лицензии Apache 2.0. Идея проста — дать разработчикам безопасную «точку старта» для продакшена уже с первого docker pull, на фоне бурного роста атак на цепочки поставок.
Компания объясняет шаг масштабом ответственности: Docker Hub, по её данным, обслуживает более 20 миллиардов скачиваний образов в месяц, а контейнеры стали стандартным путём доставки софта для подавляющего большинства организаций. При этом атаки на цепочку поставок , как утверждает Docker, стремительно дорожают для индустрии: в 2025 году ущерб превысил 60 млрд долларов, что в несколько раз больше, чем в 2021-м. Логика Docker такая: если базовые образы «на старте» небезопасны, то дальше можно сколько угодно строить процессы, но фундамент всё равно будет трещать.
DHI компания запустила в мае 2025 года как набор минимальных, готовых к «проду» образов, уже настроенных с прицелом на снижение поверхности атаки. С тех пор, пишет Docker, в каталоге «закалили» более тысячи образов и Helm-чартов. Теперь же этот набор открывают для всех разработчиков, а платными остаются те сценарии, где нужны жёсткие гарантии и обслуживание: например, постоянные обновления безопасности с обязательством закрывать критические уязвимости в срок до 7 дней, сборка кастомных образов на инфраструктуре Docker, поддержка для регулируемых отраслей (вроде требований FIPS/FedRAMP) или патчи после окончания поддержки upstream-проектов.
Одна из ключевых идей DHI — максимальная прозрачность. Docker подчёркивает, что каждый образ сопровождается проверяемым SBOM, а процесс сборки — «происхождением» уровня SLSA Build Level 3. Отдельный акцент — на уязвимостях: компания заявляет, что не будет «прятать» CVE ради красивого отчёта сканера и предпочитает показывать реальную картину даже тогда, когда исправление ещё в работе. На выходе обещают меньше уязвимостей, более компактные образы (вплоть до сокращения размера на 95%) и безопасные настройки «по умолчанию», без отказа от привычных для индустрии баз — Alpine и Debian.