Docker已经将其超过1000个加固容器镜像的目录在开源许可下免费提供。Docker 加固镜像之前是在 2025 年 5 月推出的商业产品,但现在所有开发者都可以在没有任何使用或分发限制的 Apache 2.0 许可下访问。
随着供应链攻击在软件行业中不断升级,这一举措应运而生。根据Cybersecurity Ventures的数据,预计到 2025 年,这类攻击将给全球企业带来 600 亿美元的损失,是 2021 年的三倍。Docker Hub 每月处理超过 200 亿次容器拉取,公司决定民主化对安全基础镜像的访问,这可能对容器生态系统产生深远的影响。
Docker 的总裁兼首席运营官 Mark Cavage 表示,安全必须在开发的早期阶段就开始,并且需要对每个开发者普遍可用。Cavage 说:“通过免费提供加固镜像,并提供与当今 AI 编码智能体一起工作的工具,我们为整个行业和社区提供了最好的可能基线。”
加固镜像基于广泛采用的开源发行版构建,特别是 Debian 和 Alpine Linux。它们旨在通过消除不必要的组件(如包管理器和 shell)来减少攻击面。这些镜像默认以非 root 用户身份运行,并包括完整的软件物料清单、透明的漏洞数据以及具有 SLSA Build Level 3 的真实性加密证明。
Docker 声称,与传统基础镜像相比,加固镜像可以减少高达 95%的攻击面。该公司还为 Kubernetes 环境开发了加固 Helm 图表,并宣布了针对 AI 应用程序的加固 MCP 服务器。Docker 的高级首席工程师 Christian Dupuis 将该公告描述为行业的分水岭时刻。“Docker 正在从根本上改变应用程序的构建方式,为每个开发者、每个组织和每个开源项目默认提供安全保障,”Dupuis 说。
这一举措得到了主要技术公司和行业组织的支持。在 Docker 的发布中,云原生计算基金会的执行董事 Jonathan Bryce 对这一举动表示欢迎。“Docker 将其加固镜像在 Apache 2.0 下免费提供,突显了其对开源生态系统的坚定承诺,”Bryce 说。许多 CNCF 项目已经可以在 DHI 目录中找到,为更广泛的社区提供安全、维护良好的构建块,有助于共同加强软件供应链,他补充道。
行业中还有其他类似的举措,使加固和精简镜像免费可用,因为使用最小、以安全为中心的容器镜像已成为大多数组织的核心要求。谷歌多年来一直将其distroless镜像作为一个开源项目来维护,提供基于 Debian 的最小容器镜像,只包含应用程序运行时依赖项,不包含 shell 或包管理器。最小的 distroless 镜像大约为 2 兆字节,大约是 Alpine Linux 大小的 50%,不到标准 Debian 镜像的 2%。包括 Kubernetes、Knative 和 Tekton 在内的主要项目已经在生产环境中采用了谷歌的 distroless 镜像。
像Chainguard这样的竞争对手提供了近 500 个最小的、加固的容器镜像,同样专注于减少已知漏洞。该公司最近推出了一个新的镜像目录,提供安全咨询和自动更新工具。Chainguard 提供免费的开发者镜像的最新版本,同时提供带有补丁服务级别协议和联邦信息处理标准合规等特性的生产镜像作为商业产品。
另一家竞争对手 Echo Software 最近筹集了大量资金。该公司使用AI智能体构建和维护无漏洞的容器镜像。根据 Market Research Future 的数据,2025 年容器安全行业的估值约为 30 亿美元,预计在未来十年将超过200亿美元。
Docker 的免费产品与两个商业层级并存。Docker 加固镜像企业版为提供 7 天内修复关键漏洞的服务级别协议,并计划将此时间缩短至 1 天或更短。企业级还提供符合联邦信息处理标准和国防部安全技术实施指南的镜像。它允许组织自定义镜像,同时保持 Docker 的安全构建基础设施和合规保证。作为企业级的付费附加组件提供的 Docker 加固镜像扩展生命周期支持,为软件提供长达五年的额外安全覆盖,超出其官方生命周期结束日期。这对需要在上游支持结束后仍需安全更新的遗留系统的组织来说非常适合。
该公司还增强了其工具,以支持迁移到加固镜像。作为一个实验性功能,Docker AI 助手现在可以扫描现有的容器,并推荐与应用程序需求相匹配的等效加固镜像。一旦从实际迁移中吸取了一些经验教训,预计将达到普遍可用性。
在 Reddit 上,一个自称“sirpatchesalot”的开发者表达了他对 Docker 加固镜像公告的担忧,他认为这可能是为了配合 Bitnami 许可条款变化而进行的改变。他还指出了 Docker 过去将免费功能放在付费墙后的行为。他指出,对于需要商业发行版的企业环境来说,将发行版限制在 Debian 和 Alpine 可能是一个问题,并且他对 Docker 围绕 CVE 漏洞度量指标的准确性表示质疑。
免费的加固镜像很好。透明度、长期信任、操作系统灵活性和诚实的漏洞处理更重要。如果你不读细则,你得到的不是“安全”,而只是氛围。
——Reddit 上的 sirpatchesalot
Bitnami最近决定撤回其免费公共镜像目录,这与此特别相关。Bitnami 在 Broadcom 收购后成为 VMware 的一部分,将用户转移到每年需要花费 5 万美元或更多的付费订阅。Bitnami 辩称,由于成本高昂,为公众运营构建管道和 OCI 注册表已经变得不可持续。Docker 的不同之处在于,它明确地在开源许可下发布了镜像,这为未来的可用性提供了更强的保证。该公司还强调,这一举措与十多年前定义 Docker 官方镜像的精神形同,这些镜像是免费的,并且在持续维护的情况下一直保持免费。
Docker 的产品和工程执行副总裁 Tushar Jain 表示,每个加固镜像都附带强大的来源、可复制的构建和清晰的证明。有了 DHI 企业版和扩展生命周期支持,公司为组织提供了控制和长期保护,以确保关键系统的安全,Jain 说。
加固镜像现在可以通过 Docker Hub 获得。Docker计划在2026年1月13日举办一个网络研讨会,提供有关如何使用免费加固镜像的实践指导。
原文链接:
