Docker pour un écosystème de conteneurs plus sûr : publication gratuite de Docker Hardened Images

 (docker.com)
6 points par GN⁺ 2025-12-19 | 1 commentaires | Partager sur WhatsApp
  • Docker Hardened Images (DHI) sont des images de conteneurs de production durcies, à configuration minimale, publiées sous licence Apache 2.0 pour être utilisées gratuitement par tous les développeurs
  • Les DHI sont construites sur Alpine et Debian, ce qui permet une intégration facile dans les workflows existants, et fournissent une base de sécurité fiable grâce à la SBOM, au SLSA Build Level 3 et à une publication transparente des CVE
  • La version entreprise, DHI Enterprise, inclut un SLA de correction des CVE sous 7 jours, des images pour les secteurs réglementés (FIPS, STIG) et une infrastructure de build personnalisée, tandis que Extended Lifecycle Support (ELS) offre jusqu’à 5 ans de support de sécurité supplémentaire
  • De grandes entreprises comme Adobe, Qualcomm, Google, MongoDB et Anaconda ont adopté les DHI ou participent comme partenaires afin de renforcer la sécurité de la chaîne d’approvisionnement logicielle
  • Avec cette initiative, Docker établit un standard industriel permettant à tous les développeurs et à toutes les organisations de démarrer par défaut dans un environnement de conteneurs sûr

Présentation de Docker Hardened Images

  • Docker Hardened Images (DHI) est un ensemble d’images axées sur la sécurité, qui a durci plus de 1 000 images et charts Helm depuis son lancement en mai 2025
    • Disponible gratuitement et en open source pour tous les développeurs à partir de décembre 2025
    • Distribué sous licence Apache 2.0, sans restriction d’usage, de partage ou de modification
  • Docker Hub enregistre plus de 20 milliards de pulls d’images par mois, et plus de 26 millions de développeurs dans le monde participent à l’écosystème des conteneurs
  • Les attaques sur la chaîne d’approvisionnement ont causé plus de 60 milliards de dollars de dommages en 2025, soit trois fois plus qu’en 2021, ce qui souligne la nécessité d’un renforcement de la sécurité

Principales caractéristiques des DHI

  • Une architecture d’images sécurisées centrée sur la transparence et la réduction au minimum
    • Utilisation d’un runtime distroless pour réduire au minimum la surface d’attaque tout en conservant les outils de développement essentiels
    • Toutes les images incluent une SBOM complète ainsi que des informations de provenance SLSA Build Level 3
    • Une évaluation basée sur des données CVE publiques garantit la transparence sans masquer les vulnérabilités
    • Toutes les images incluent une signature de vérification d’authenticité
  • Une base Alpine et Debian permettant aux équipes existantes de les adopter avec un minimum de changements
    • L’AI Assistant de Docker analyse les conteneurs existants pour recommander l’image durcie correspondante ou aider à son application automatique (actuellement en phase expérimentale)
  • Tout en conservant des paramètres de sécurité par défaut, la taille des images peut être réduite jusqu’à 95 %
    • Avec DHI Enterprise, un niveau de quasi-zéro CVE est garanti

DHI Enterprise et ELS

  • DHI Enterprise
    • Fournit des images compatibles FIPS et STIG pour les secteurs réglementés et les administrations
    • Offre la conformité aux benchmarks CIS ainsi qu’un SLA de correction des CVE critiques sous 7 jours
    • Permet un contrôle complet : personnalisation des images, configuration du runtime, ajout de certificats et de paquets
    • Grâce à l’infrastructure de build de Docker, la provenance des builds et la conformité sont gérées automatiquement
  • DHI Extended Lifecycle Support (ELS)
    • Option payante d’extension pour DHI Enterprise, fournissant jusqu’à 5 ans de correctifs de sécurité supplémentaires
    • Même après la fin du support upstream, maintient des correctifs CVE continus, des mises à jour de SBOM, ainsi que la signature et l’auditabilité

Expansion de l’écosystème et partenariats

  • Les DHI collaborent avec Google, MongoDB, CNCF, Snyk, JFrog Xray et d’autres pour faire progresser l’intégration d’une chaîne d’approvisionnement sécurisée
    • Snyk et JFrog Xray intègrent directement les DHI dans leurs scanners
    • La CNCF estime que les DHI contribuent au renforcement de l’écosystème open source
  • Des entreprises comme Adobe, Qualcomm, Attentive et Octopus Deploy ont amélioré leur conformité et leur niveau de sécurité grâce aux DHI
  • De grands acteurs technologiques comme MongoDB, Anaconda, Socket, Temporal, CircleCI et LocalStack soutiennent l’ouverture et la sécurité des DHI

Docker Hardened Helm Charts et MCP Servers

  • Les Hardened Helm Charts permettent d’utiliser les images DHI aussi dans les environnements Kubernetes
  • Les Hardened MCP Servers proposent des versions renforcées de serveurs MCP majeurs comme Mongo, Grafana et GitHub
    • Une extension future est prévue vers des bibliothèques de sécurité et des paquets système
    • L’objectif est d’assurer la sécurité depuis la fonction main() de l’application jusqu’à l’ensemble de la stack

Philosophie et vision de Docker

  • Puisque l’image de base détermine la sécurité de l’application, l’obtention d’une transparence totale et d’une confiance vérifiable est essentielle
  • Les DHI fournissent un environnement de développement où la sécurité est le paramètre par défaut, permettant à tous les développeurs et à toutes les organisations de partir du même socle de sécurité
  • Cette publication gratuite s’inscrit dans le prolongement de l’esprit qui avait conduit Docker à proposer gratuitement les Docker Official Images il y a plus de dix ans
    • Une documentation claire, une maintenance cohérente et des partenariats ouverts pour élever le niveau de sécurité de l’ensemble du secteur

Comment démarrer

Conclusion

  • Avec les DHI, Docker fournit à tous les développeurs un environnement de conteneurs où la sécurité est activée par défaut
  • Cette initiative accélère la standardisation industrielle de la sécurité de la chaîne d’approvisionnement logicielle et vise à bâtir un écosystème de sécurité durable fondé sur la collaboration open source

À lire aussi

1 commentaires

 
GN⁺ 2025-12-19
Avis Hacker News

  • Les Hardened Images (DHI) de Docker sont désormais gratuites pour tout le monde
    Dans les secteurs réglementés (banque, assurance, administrations, etc.), ce type d’images renforcées sur le plan de la sécurité devrait susciter beaucoup d’intérêt

    • Après le précédent du registre gratuit devenu payant, il est difficile de faire confiance à la politique de gratuité de Docker
      Le schéma du bait and switch est devenu trop courant dans tout le secteur
    • Du point de vue du CEO de VulnFree, cette annonce ressemble surtout à une stratégie marketing
      La croissance de Chainguard est bien plus forte que celle de Docker, et Docker semble essayer de rattraper le mouvement
    • J’ai essayé de pull l’image, mais j’ai eu une erreur 401. Il faut se connecter ? C’est une approche étrange pour quelque chose censé être gratuit
    • Il y a un login gate, au point que ça ne donne même pas envie d’essayer. C’est une friction inutile
    • Ce communiqué donne lui-même l’impression d’avoir été généré par un LLM

  • Cela ressemble à une réponse de Docker à l’abandon des charts Helm de Bitnami/VMWare/Broadcom

    • C’est sans doute aussi une réaction à la croissance fulgurante de Chainguard. Les VCs investissent des centaines de millions de dollars dans les images sécurisées, hors IA
    • Je pense pareil

  • Au premier regard, ce n’est pas une simple solution interchangeable
    Il y a une obligation de connexion, et le PAT (personal access token) est lié à un compte personnel
    Pour une startup, il n’y a pas de raison d’aller discuter d’un plan enterprise
    Si on ne peut l’utiliser que pour du développement local sans environnement CI/CD, l’intérêt pratique est limité

    • Docker for Teams tourne autour de 15 dollars par mois, et les enterprise hardened images sont séparées pour le mirroring hors ligne ou la conformité réglementaire
      La valeur centrale des images durcies contre les CVE, c’est la fiabilité à grande échelle. Scanner et corriger soi-même à l’échelle d’une équipe n’est pas réaliste

  • Le marché des images durcies semble saturé
    Même à Kubecon, au moins trois entreprises proposaient le même service
    Chainguard a ouvert le marché en premier, et ses images à 0 CVE ont beaucoup aidé à faire passer les audits sécurité des startups
    Mais les concurrents comme Minimus ou Ironbank se multiplient. C’est positif pour l’écosystème, mais le marché n’est peut-être pas si grand

    • Le vrai problème n’est pas la saturation du marché, mais le fait que si Docker les propose gratuitement, le marché lui-même pourrait disparaître
    • Chainguard s’étend vers les images VM ou les dépôts par langage, mais hors des secteurs réglementés, on peut douter de l’ampleur de la demande payante
      Si Docker les propose gratuitement, la barrière à l’entrée baisse et c’est plus facile à essayer
    • Les images Ironbank peuvent aussi être utilisées par des organisations hors DoD. Il suffit d’enregistrer un compte
    • Du point de vue du CEO de VulnFree, Chainguard n’a peut-être pas été le tout premier, mais il existe toujours une demande non satisfaite
    • En réalité, Ironbank faisait cela avant Chainguard. Mais la qualité était inférieure, avec un problème récurrent de conteneurs cassés
      Des segfaults survenaient à cause de différences de version de glibc, par exemple, signe que le durcissement se limitait souvent à copier des binaires
      Dans l’administration ou les secteurs réglementés, la demande reste forte, mais comme activité indépendante, la viabilité est faible
      Chainguard tient surtout grâce à la réputation de ses fondateurs, et au fond le modèle ressemble à celui des distributions Linux
      Pour une entreprise qui exploite déjà une distribution Linux, ce type de service est une extension naturelle

  • En tant qu’employé de Docker, je veux faire des paramètres de sécurité par défaut (secure-by-default) le point de départ de tous les développeurs
    Nous avons inclus des documents VEX, des attestations et des métadonnées dans toutes les images pour améliorer la transparence
    Le projet n’est pas limité aux images de base et doit s’étendre à l’ensemble de la stack, y compris les serveurs MCP
    Dans l’offre enterprise, nous proposons en payant des SLA de patching continu, des variantes FIPS et de la personnalisation sécurité
    Cela nous permet de maintenir un catalogue gratuit pour la communauté

    • Le format de Dockerfile de cet exemple de spécification d’image PHP paraît inhabituel
      Je me demande s’il existe un outil distinct pour le builder

  • La politique de gratuité de Docker s’accompagne toujours de la crainte qu’elle puisse devenir payante à tout moment
    C’était déjà le cas avec Docker Desktop et le Registry auparavant

    • Si ce genre de chose se reproduit, les entreprises deviendront plus prudentes vis-à-vis de leur dépendance à des services gratuits
      Exemple : recours collectif après l’arrêt des comptes gratuits Google G Suite
    • Ce qui était encore plus agaçant, c’est que Docker bloquait les configurations hors de son propre registre
      C’est pour cela que Red Hat a créé Podman

  • Il est intéressant que l’arrêt des images durcies gratuites de Bitnami coïncide avec l’annonce de Docker
    Il y a une inquiétude qu’un autre scénario « gratuit puis payant » se répète
    Docker semble toujours suivre une stratégie de croissance de VC

    1. conquérir l’écosystème avec du gratuit
    2. enfermer les utilisateurs
    3. monétiser
    • Notre équipe a déjà migré son infra hors des images Bitnami. Nous ne faisons plus confiance à Docker

  • Les scripts de build que Docker doit maintenir semblent assez complexes
    Exemple : YAML de build pour Traefik
    À l’inverse, Nix package déjà la plupart des logiciels, et leur conteneurisation est possible sans travail supplémentaire
    Les builds reproductibles et une infrastructure de cache à grande échelle existent déjà
    Pour atteindre ce niveau, Docker devrait tout construire lui-même sans l’appui d’une communauté

  • C’était présenté comme open source, pourtant le code source de l’image durcie Traefik est introuvable
    Le YAML du catalogue n’est qu’un simple fichier de configuration, pas un fichier de build
    Il semble qu’un outil appelé dhi soit nécessaire, mais il n’y a pas de documentation
    S’il est impossible de builder soi-même en environnement hors ligne, il est difficile de parler de véritable open source

  • Du point de vue du CEO de VulnFree, l’annonce de Docker relève surtout du marketing destiné à freiner l’élan de Chainguard
    Il y a peu d’innovation dans ce domaine, et la plupart des offres ne sont que des variantes du modèle de Chainguard
    Après la levée de fonds de Chainguard, les VCs se sont rués sur le marché des « images sécurisées », Bitnami a tenté la monétisation, et Docker comble ce vide avec une offre gratuite
    Mais la raison de la non-publication du code source est claire : le publier ferait disparaître les barrières à l’entrée
    Aux niveaux de prix actuels, il revient moins cher de builder soi-même
    La vraie valeur de VulnFree réside dans des images durcies sur mesure, adaptées au workflow des équipes de développement