- Docker Hardened Images (DHI) sont des images de conteneurs de production durcies, à configuration minimale, publiées sous licence Apache 2.0 pour être utilisées gratuitement par tous les développeurs
- Les DHI sont construites sur Alpine et Debian, ce qui permet une intégration facile dans les workflows existants, et fournissent une base de sécurité fiable grâce à la SBOM, au SLSA Build Level 3 et à une publication transparente des CVE
- La version entreprise, DHI Enterprise, inclut un SLA de correction des CVE sous 7 jours, des images pour les secteurs réglementés (FIPS, STIG) et une infrastructure de build personnalisée, tandis que Extended Lifecycle Support (ELS) offre jusqu’à 5 ans de support de sécurité supplémentaire
- De grandes entreprises comme Adobe, Qualcomm, Google, MongoDB et Anaconda ont adopté les DHI ou participent comme partenaires afin de renforcer la sécurité de la chaîne d’approvisionnement logicielle
- Avec cette initiative, Docker établit un standard industriel permettant à tous les développeurs et à toutes les organisations de démarrer par défaut dans un environnement de conteneurs sûr
Présentation de Docker Hardened Images
- Docker Hardened Images (DHI) est un ensemble d’images axées sur la sécurité, qui a durci plus de 1 000 images et charts Helm depuis son lancement en mai 2025
- Disponible gratuitement et en open source pour tous les développeurs à partir de décembre 2025
- Distribué sous licence Apache 2.0, sans restriction d’usage, de partage ou de modification
- Docker Hub enregistre plus de 20 milliards de pulls d’images par mois, et plus de 26 millions de développeurs dans le monde participent à l’écosystème des conteneurs
- Les attaques sur la chaîne d’approvisionnement ont causé plus de 60 milliards de dollars de dommages en 2025, soit trois fois plus qu’en 2021, ce qui souligne la nécessité d’un renforcement de la sécurité
Principales caractéristiques des DHI
- Une architecture d’images sécurisées centrée sur la transparence et la réduction au minimum
- Utilisation d’un runtime distroless pour réduire au minimum la surface d’attaque tout en conservant les outils de développement essentiels
- Toutes les images incluent une SBOM complète ainsi que des informations de provenance SLSA Build Level 3
- Une évaluation basée sur des données CVE publiques garantit la transparence sans masquer les vulnérabilités
- Toutes les images incluent une signature de vérification d’authenticité
- Une base Alpine et Debian permettant aux équipes existantes de les adopter avec un minimum de changements
- L’AI Assistant de Docker analyse les conteneurs existants pour recommander l’image durcie correspondante ou aider à son application automatique (actuellement en phase expérimentale)
- Tout en conservant des paramètres de sécurité par défaut, la taille des images peut être réduite jusqu’à 95 %
- Avec DHI Enterprise, un niveau de quasi-zéro CVE est garanti
DHI Enterprise et ELS
- DHI Enterprise
- Fournit des images compatibles FIPS et STIG pour les secteurs réglementés et les administrations
- Offre la conformité aux benchmarks CIS ainsi qu’un SLA de correction des CVE critiques sous 7 jours
- Permet un contrôle complet : personnalisation des images, configuration du runtime, ajout de certificats et de paquets
- Grâce à l’infrastructure de build de Docker, la provenance des builds et la conformité sont gérées automatiquement
- DHI Extended Lifecycle Support (ELS)
- Option payante d’extension pour DHI Enterprise, fournissant jusqu’à 5 ans de correctifs de sécurité supplémentaires
- Même après la fin du support upstream, maintient des correctifs CVE continus, des mises à jour de SBOM, ainsi que la signature et l’auditabilité
Expansion de l’écosystème et partenariats
- Les DHI collaborent avec Google, MongoDB, CNCF, Snyk, JFrog Xray et d’autres pour faire progresser l’intégration d’une chaîne d’approvisionnement sécurisée
- Snyk et JFrog Xray intègrent directement les DHI dans leurs scanners
- La CNCF estime que les DHI contribuent au renforcement de l’écosystème open source
- Des entreprises comme Adobe, Qualcomm, Attentive et Octopus Deploy ont amélioré leur conformité et leur niveau de sécurité grâce aux DHI
- De grands acteurs technologiques comme MongoDB, Anaconda, Socket, Temporal, CircleCI et LocalStack soutiennent l’ouverture et la sécurité des DHI
Docker Hardened Helm Charts et MCP Servers
- Les Hardened Helm Charts permettent d’utiliser les images DHI aussi dans les environnements Kubernetes
- Les Hardened MCP Servers proposent des versions renforcées de serveurs MCP majeurs comme Mongo, Grafana et GitHub
- Une extension future est prévue vers des bibliothèques de sécurité et des paquets système
- L’objectif est d’assurer la sécurité depuis la fonction
main() de l’application jusqu’à l’ensemble de la stack
Philosophie et vision de Docker
- Puisque l’image de base détermine la sécurité de l’application, l’obtention d’une transparence totale et d’une confiance vérifiable est essentielle
- Les DHI fournissent un environnement de développement où la sécurité est le paramètre par défaut, permettant à tous les développeurs et à toutes les organisations de partir du même socle de sécurité
- Cette publication gratuite s’inscrit dans le prolongement de l’esprit qui avait conduit Docker à proposer gratuitement les Docker Official Images il y a plus de dix ans
- Une documentation claire, une maintenance cohérente et des partenariats ouverts pour élever le niveau de sécurité de l’ensemble du secteur
Comment démarrer
Conclusion
- Avec les DHI, Docker fournit à tous les développeurs un environnement de conteneurs où la sécurité est activée par défaut
- Cette initiative accélère la standardisation industrielle de la sécurité de la chaîne d’approvisionnement logicielle et vise à bâtir un écosystème de sécurité durable fondé sur la collaboration open source
Aucun commentaire pour le moment.