Docker para um ecossistema de contêineres mais seguro: Docker libera gratuitamente o Docker Hardened Images

 (docker.com)
6 pontos por GN⁺ 2025-12-19 | 1 comentários | Compartilhar no WhatsApp
  • Docker Hardened Images (DHI) são imagens de contêiner para produção, com configuração mínima e segurança reforçada, disponibilizadas para todos os desenvolvedores gratuitamente sob a licença Apache 2.0
  • O DHI é construído com base em Alpine e Debian, podendo ser integrado facilmente aos fluxos de trabalho existentes, e oferece uma base de segurança confiável por meio de SBOM, SLSA Build Level 3 e divulgação transparente de CVEs
  • O DHI Enterprise, voltado para empresas, inclui SLA de correção de CVEs em até 7 dias, imagens para setores regulados (FIPS, STIG) e infraestrutura de build personalizada, enquanto o Extended Lifecycle Support (ELS) oferece até 5 anos de suporte adicional de segurança
  • Grandes empresas como Adobe, Qualcomm, Google, MongoDB e Anaconda adotaram o DHI ou participam como parceiras, fortalecendo a segurança da cadeia de suprimentos de software
  • Com essa iniciativa, a Docker estabelece um padrão da indústria para que todos os desenvolvedores e organizações comecem, por padrão, em um ambiente de contêineres seguro

Visão geral do Docker Hardened Images

  • Docker Hardened Images (DHI) é um conjunto de imagens focadas em segurança que, desde seu lançamento em maio de 2025, já reforçou mais de 1.000 imagens e charts Helm
    • A partir de dezembro de 2025, estará disponível gratuitamente e como open source para todos os desenvolvedores
    • Distribuído sob a licença Apache 2.0, sem restrições para uso, compartilhamento ou modificação
  • O Docker Hub registra mais de 20 bilhões de pulls de imagens por mês, e mais de 26 milhões de desenvolvedores em todo o mundo participam do ecossistema de contêineres
  • Ataques à cadeia de suprimentos causaram mais de US$ 60 bilhões em prejuízos em 2025, triplicando em relação a 2021, o que reforça a necessidade de maior segurança

Principais características do DHI

  • Estrutura de imagens seguras com foco em transparência e minimalismo
    • Usa runtime distroless para minimizar a superfície de ataque, mantendo as ferramentas essenciais de desenvolvimento
    • Todas as imagens incluem SBOM completo e informações de procedência SLSA Build Level 3
    • Mantém a transparência com avaliação baseada em dados públicos de CVE, sem ocultar vulnerabilidades
    • Todas as imagens incluem assinaturas para verificação de autenticidade
  • Com base em Alpine e Debian, permitindo adoção pelas equipes existentes com mudanças mínimas
    • O AI Assistant da Docker analisa contêineres existentes para recomendar ou aplicar automaticamente a imagem reforçada correspondente (atualmente em fase experimental)
  • Mantém segurança por padrão enquanto reduz o tamanho das imagens em até 95%
    • No DHI Enterprise, garante um nível próximo de zero CVEs

DHI Enterprise e ELS

  • DHI Enterprise
    • Fornece imagens compatíveis com FIPS e STIG para setores regulados e órgãos governamentais
    • Oferece conformidade com os benchmarks CIS e SLA de correção de CVEs críticos em até 7 dias
    • Permite controle total sobre customização de imagens, configuração de runtime, adição de certificados e pacotes
    • Gerencia automaticamente procedência de build e conformidade por meio da infraestrutura de build da Docker
  • DHI Extended Lifecycle Support (ELS)
    • Opção paga de extensão do DHI Enterprise, com até 5 anos de patches adicionais de segurança
    • Mesmo após o fim do suporte upstream, mantém correções contínuas de CVEs, atualizações de SBOM, assinaturas e capacidade de auditoria

Expansão do ecossistema e parcerias

  • O DHI avança na integração de cadeias de suprimentos seguras em parceria com Google, MongoDB, CNCF, Snyk e JFrog Xray
    • Snyk e JFrog Xray integraram o DHI diretamente aos seus scanners
    • A CNCF avalia que o DHI contribui para fortalecer o ecossistema open source
  • Empresas como Adobe, Qualcomm, Attentive e Octopus Deploy alcançaram melhorias em conformidade e nível de segurança com o DHI
  • Grandes empresas de tecnologia como MongoDB, Anaconda, Socket, Temporal, CircleCI e LocalStack apoiam a abertura e a segurança do DHI

Docker Hardened Helm Charts e MCP Servers

  • Com os Hardened Helm Charts, também é possível usar imagens DHI em ambientes Kubernetes
  • Os Hardened MCP Servers oferecem versões reforçadas em segurança de servidores MCP importantes como Mongo, Grafana e GitHub
    • No futuro, a expansão está planejada para bibliotecas de segurança e pacotes de sistema
    • O objetivo é garantir segurança desde a função main() da aplicação até toda a stack

Filosofia e visão da Docker

  • Como a imagem base determina a segurança da aplicação, garantir transparência total e confiança verificável é essencial
  • O DHI oferece um ambiente de desenvolvimento em que a segurança é o padrão, permitindo que todos os desenvolvedores e organizações partam do mesmo nível de base de segurança
  • Esta liberação gratuita dá continuidade ao espírito de quando a Docker disponibilizou gratuitamente as Docker Official Images há mais de 10 anos
    • Com documentação clara, manutenção consistente e parcerias abertas, busca elevar o nível de segurança em toda a indústria

Como começar

Conclusão

  • Com o DHI, a Docker oferece a todos os desenvolvedores um ambiente de contêineres em que a segurança é o padrão
  • A iniciativa acelera a padronização da segurança da cadeia de suprimentos de software e busca construir um ecossistema de segurança sustentável baseado em colaboração open source

Leituras relacionadas

1 comentários

 
GN⁺ 2025-12-19
Comentários do Hacker News

  • As Hardened Images (DHI) da Docker agora estão disponíveis gratuitamente para todos
    Setores regulados, como bancos, seguradoras e órgãos governamentais, provavelmente terão bastante interesse nesse tipo de imagem reforçada em segurança

    • Depois do caso em que um registro gratuito foi transformado em serviço pago, fica difícil confiar na política de gratuidade da Docker
      Esse padrão de bait and switch está se tornando comum demais em toda a indústria
    • Como CEO da VulnFree, na minha visão esse anúncio parece apenas uma estratégia de marketing
      A Chainguard está crescendo muito mais rápido do que a Docker, e a Docker parece estar tentando correr atrás desse movimento
    • Tentei fazer pull da imagem, mas recebi um erro 401. Precisa fazer login? Para algo gratuito, é uma abordagem estranha
    • Tem um bloqueio por login, e isso já me desanimou até de tentar. É atrito desnecessário
    • O próprio texto desse anúncio dá a impressão de ter sido gerado por LLM

  • Parece ser uma resposta da Docker à descontinuação dos charts Helm da Bitnami/VMWare/Broadcom

    • Provavelmente também é uma reação ao crescimento acelerado da Chainguard. VCs estão investindo centenas de milhões de dólares em imagens seguras, não em IA
    • Também acho

  • À primeira vista, isso não é simplesmente uma solução substituível por outra
    Exige login, e o PAT (personal access token) fica vinculado a uma conta pessoal
    Para uma startup, não há motivo para entrar em contato sobre um plano enterprise
    Se só puder ser usado para desenvolvimento local, sem ambiente de CI/CD, a utilidade cai bastante

    • O Docker for Teams custa algo em torno de US$ 15 por mês, e as enterprise hardened images são separadas para espelhamento offline ou conformidade regulatória
      O principal valor das imagens endurecidas contra CVE é a confiabilidade em escala. Fazer scan e patch manualmente em nível de equipe não é realista

  • O mercado de imagens hardened parece saturado
    Na Kubecon, havia pelo menos três empresas oferecendo o mesmo serviço
    A Chainguard foi a primeira a abrir esse mercado, e as imagens com 0 CVE ajudaram bastante startups a passar por auditorias de segurança
    Mas concorrentes como Minimus e Ironbank estão surgindo. Isso é positivo para o ecossistema, mas talvez o mercado não seja tão grande assim

    • O problema real talvez não seja saturação, e sim que se a Docker oferecer isso de graça, o mercado pode simplesmente desaparecer
    • A Chainguard está se expandindo para imagens de VM e repositórios por linguagem, mas ainda é discutível quanto existe de demanda paga fora de setores regulados
      Se a Docker oferecer isso gratuitamente, a barreira de entrada cai e fica bem mais fácil experimentar
    • As imagens da Ironbank também podem ser usadas por organizações fora do DoD. Basta registrar uma conta
    • Como CEO da VulnFree, não sei se a Chainguard foi realmente a primeira, mas ainda existe demanda não atendida
    • Na verdade, a Ironbank fez isso antes da Chainguard. Mas a qualidade era baixa, e havia o problema de quebrar containers com frequência
      Havia casos de segfault por diferença de versão do glibc, ou seja, o processo de hardening era quase só copiar binários
      Ainda existe muita demanda em governo e setores regulados, mas como negócio independente isso parece pouco sustentável
      A Chainguard parece se sustentar em parte pela reputação dos fundadores e, no fim, isso se parece com o modelo de negócio de distribuições Linux
      Para empresas que já operam uma distribuição Linux, esse tipo de serviço é uma expansão natural

  • Como funcionário da Docker, quero que segurança por padrão (secure-by-default) seja o ponto de partida de todos os desenvolvedores
    Incluímos documentos VEX, attestations e metadados em todas as imagens para aumentar a transparência
    O plano é expandir isso além das imagens base, para toda a stack, incluindo servidores MCP
    Na camada enterprise, oferecemos pagos como SLA de patch contínuo, variantes FIPS e customização de segurança
    Isso nos permite manter um catálogo gratuito para a comunidade

    • O formato do Dockerfile na especificação da imagem PHP usada como exemplo parece incomum
      Fiquei curioso se existe uma ferramenta separada para fazer build disso

  • A política de gratuidade da Docker traz a insegurança de poder virar paga a qualquer momento
    Foi assim antes com Docker Desktop e Registry

  • É interessante como o momento em que a Bitnami encerrou as imagens hardened gratuitas coincidiu com o anúncio da Docker
    Dá medo de ver outro cenário de “grátis primeiro, pago depois” se repetir
    A Docker parece sempre seguir a estratégia de crescimento de VC

    1. conquistar o ecossistema com serviço gratuito
    2. prender os usuários e depois cobrar
    3. monetizar
    • Nossa equipe já migrou a infraestrutura das imagens da Bitnami. Não confiamos mais na Docker

  • Os scripts de build que a Docker precisa manter parecem bem complexos
    Ex.: YAML de build do Traefik
    Em contraste, o Nix já empacotou a maior parte dos softwares, e a conteinerização também é possível sem trabalho adicional
    Já existem builds reproduzíveis e uma infraestrutura de cache em larga escala
    Para a Docker chegar a esse nível, ela teria de construir tudo por conta própria, sem comunidade

  • Dizem que é open source, mas não consigo ver o código-fonte da imagem hardened do Traefik
    O YAML do catálogo é apenas um arquivo de configuração, não um arquivo de build
    Parece que é preciso uma ferramenta chamada dhi, mas não há documentação
    Se não for possível fazer o build diretamente em ambiente offline, fica difícil considerar isso verdadeiramente open source

  • Como CEO da VulnFree, vejo esse anúncio da Docker como marketing para conter o momentum da Chainguard
    Falta inovação nesse segmento, e a maioria só adapta o modelo da Chainguard
    Depois que a Chainguard captou investimento, VCs correram para o mercado de “imagens seguras”, a Bitnami tentou monetizar, e a Docker preencheu esse espaço oferecendo de graça
    Mas o motivo de não abrirem o código-fonte é claro — se abrirem, a barreira de entrada desaparece
    Na faixa de preço atual, fazer o build internamente sai mais barato
    O valor real da VulnFree está nas imagens hardened personalizadas, ajustadas ao workflow da equipe de desenvolvimento