Ein sichereres Container-Ökosystem mit Docker: Kostenlose Docker gehärtete Images

TL;DR

Docker hat die Docker Hardened Images (DHI) eingeführt, um die Sicherheit im Container-Ökosystem zu verbessern. Diese kostenlosen, offenen und gehärteten Images bieten Entwicklern eine sichere Grundlage für ihre Anwendungen und reduzieren die Angriffsfläche erheblich. Mit DHI wird eine transparente Sicherheitsstrategie verfolgt, die es Unternehmen ermöglicht, ihre Softwarelieferkette zu schützen.

Hauptinhalt

Docker hat die Docker Hardened Images (DHI) im Mai 2025 eingeführt, um die Sicherheit in der Softwarelieferkette zu stärken. Angesichts der dramatisch gestiegenen Schäden durch Lieferkettenangriffe, die 2025 über 60 Milliarden Dollar betrugen, ist die Notwendigkeit für sichere Containerlösungen dringender denn je. DHI ist ein Set von minimalen, produktionsbereiten Images, das über 1.000 bereits gehärtete Images und Helm-Charts umfasst und nun für alle Entwickler kostenlos und Open Source verfügbar ist. Diese Images sind unter der Apache 2.0 Lizenz lizenziert, was bedeutet, dass sie ohne Lizenzgebühren verwendet, geteilt und angepasst werden können.

Die DHI zielt darauf ab, einen sicheren, minimalen Ausgangspunkt für die Entwicklung zu bieten. Alle 26 Millionen Entwickler im Container-Ökosystem können DHI nutzen, um ihre Anwendungen von der ersten Build-Stufe an sicher zu gestalten. DHI ist mit den bekannten Open-Source-Betriebssystemen Alpine und Debian kompatibel, was die Integration in bestehende Workflows erleichtert. Im Gegensatz zu anderen Anbietern, die möglicherweise Sicherheitsanfälligkeiten (CVEs) verbergen, verfolgt Docker einen transparenten Ansatz und informiert die Benutzer über den aktuellen Sicherheitsstatus.

Zusätzlich zu den gehärteten Images hat Docker auch Hardened Helm Charts für Kubernetes-Umgebungen entwickelt, die ebenfalls Open Source sind. Darüber hinaus wurden Hardened MCP-Server eingeführt, die Sicherheitsprinzipien von DHI in die MCP-Schnittstelle integrieren. Diese Server unterstützen gängige Anwendungen wie MongoDB, Grafana und GitHub. In den kommenden Monaten plant Docker, diese gehärtete Grundlage auf die gesamte Software-Stack auszuweiten, einschließlich gehärteter Bibliotheken und Systempakete.

Technische Details/Implikationen

Die DHI verwenden ein distroless Runtime-Modell, um die Angriffsfläche zu minimieren, während gleichzeitig die erforderlichen Entwicklerwerkzeuge bereitgestellt werden. Jedes Image enthält eine vollständige und überprüfbare Software Bill of Materials (SBOM) sowie Nachweise über die Herkunft, die den SLSA Build Level 3 Standard erfüllen. Sicherheitsanfälligkeiten werden mithilfe transparenter, öffentlicher CVE-Daten bewertet, was den Nutzern erlaubt, informierte Entscheidungen über ihre Sicherheitsarchitektur zu treffen.

Um den Übergang zu den gehärteten Images zu erleichtern, hat Docker einen KI-gestützten Assistenten entwickelt, der bestehende Container scannen und Empfehlungen für die Verwendung von DHI-Images geben kann. Diese Funktion soll den Entwicklungsprozess weiter vereinfachen und die Sicherheit erhöhen.

Fazit/Ausblick

Docker Hardened Images setzen neue Standards für die Sicherheit im Container-Ökosystem und bieten eine robuste Grundlage für Entwickler und Unternehmen. Die kontinuierliche Erweiterung dieser Sicherheitslösungen wird es ermöglichen, die gesamte Softwarelieferkette abzusichern und den Herausforderungen von Cyberangriffen effektiv zu begegnen.