Docker 发布加固的基础镜像

加固镜像旨在作为流行的 Alpine 和 Debian 等基础镜像的直接替代品。Docker 致力于确保与现有 Dockerfile 的兼容性，以最大程度减少构建管道的中断。一个定制层允许团队在安全基础之上添加自己的证书、软件包和配置文件。

Docker 引入了一系列新的以安全为重点的基础镜像，这些镜像专为生产环境打造，旨在减少漏洞并支持容器化应用程序的安全软件供应链。

Docker 加固镜像（DHI）是一组精选的最小化镜像，采用无操作系统（distroless）方法从源代码构建而成。通过移除 shell、包管理器和其他不必要的组件，这些镜像旨在大幅减少容器化工作负载的攻击面。

根据 Docker 的说法，与传统基础镜像相比，加固镜像将漏洞足迹减少了高达95%。每个镜像都通过自动化补丁和持续的安全更新进行维护，目标是将已知的 CVE 数量降至接近零。关键和高严重性的漏洞将在七天内修补，由明确的服务级别协议提供支持。

加固镜像旨在作为流行的 Alpine 和 Debian 等基础镜像的直接替代品。Docker 专注于确保与现有 Dockerfile 的兼容性，以最大程度减少构建管道的中断。一个自定义层允许团队在安全基础之上添加自己的证书、包和配置文件。

DHI 镜像还包括签名的软件物料清单（SBOM）和来源元数据，有助于提高增加透明度和供应链可见性。这些功能可能特别适用于在受监管行业或对安全敏感的环境中运维的团队，这些团队重视额外的保证和可追溯性。

Docker 宣布了早期集成合作伙伴，包括Microsoft、GitLab、JFrog、NGINX、Sysdig、Wiz和Sonatype。这些合作旨在确保 DHI 能够与流行的安全和 CI/CD 工具无缝协作。

在内部测试中，Docker 报告称，将标准 Node.js 镜像替换为加固版本后，安装的软件包数量减少了98%，并消除了已知的 CVE。初始目录包括 Python、Go 和 Java 等常见运行时的加固镜像。

DHI 现在可以通过 Docker Hub 获得，访问权限由 Docker 的订阅层级决定。设置文档和自定义工具作为发布的一部分包含在内。

原文链接：

https://www.infoq.com/news/2025/06/docker-hardened-images/