Docker: Geharde images voortaan gratis en open source

Waar voorheen voor extra beveiligde ('hardened') container-images vaak betaald moest worden, stelt Docker deze nu beschikbaar voor iedereen: van individuele hobbyisten en ontwikkelaars tot overheden en grote organisaties. Deze stap moet een einde maken aan de zogenaamde "paywalls" voor veiligheid en van beveiligde images de nieuwe standaard maken.

Veiligheid als nulpunt

De geharde images zijn gebouwd op de populaire open-source distributies Debian en Alpine. Door deze vrij te geven, wil Docker de gehele softwareketen versterken. Volgens schattingen van Cybersecurity Ventures zullen aanvallen op de toeleveringsketen (supply chain attacks) het bedrijfsleven in 2025 wereldwijd zo'n 60 miljard dollar kosten.

"Beveiliging moet beginnen bij het allereerste punt van ontwikkeling en moet universeel beschikbaar zijn voor elke ontwikkelaar," aldus Mark Cavage, President en COO van Docker. "Door deze images gratis te maken, geven we de industrie en de gemeenschap de best mogelijke basis om op voort te bouwen."

Wat maakt een image 'gehard'?

Docker Hardened Images verminderen kwetsbaarheden tot wel 95 procent in vergelijking met traditionele community-images. Elke image bevat:

• Minimale aanvalsoppervlakte: Gebruik van 'distroless' runtime.
• Transparantie: Een volledige Software Bill of Materials (SBOM) en publieke gegevens over kwetsbaarheden (CVE's).
• Authenticiteit: Cryptografisch bewijs van de herkomst (SLSA Build Level 3).

Focus op AI en AI-agents

Docker breidt zijn beveiligingsmethode ook uit naar de infrastructuur van AI-agents. Het bedrijf lanceert geharde versies van populaire Model Context Protocol (MCP) servers, waaronder die van Grafana, MongoDB en GitHub. Dit is cruciaal omdat AI-assistenten steeds vaker communiceren met externe databronnen, wat nieuwe beveiligingsrisico's met zich meebrengt.

Enterprise-opties en langdurige ondersteuning

Hoewel de basis-images gratis zijn, introduceert Docker twee betaalde diensten voor organisaties met zeer specifieke behoeften:

1. DHI Enterprise: Voor bedrijven die garanties (SLA's) nodig hebben voor het binnen 24 uur dichten van kwetsbaarheden, of die voldoen aan strenge standaarden zoals FIPS of STIG.
2. DHI Extended Lifecycle Support (ELS): Een oplossing die tot vijf jaar extra beveiligingspatches biedt voor software waarvan de officiële ondersteuning vanuit de open-source gemeenschap (upstream) al is gestopt.

Brede steun uit de sector

Grote namen uit de industrie, waaronder Adobe, Google Cloud en MongoDB, hebben hun steun voor dit initiatief uitgesproken. "Beveiliging mag geen premiumfunctie zijn," stelt Ryan J. Salva van Google. "Door geharde images gratis te maken, laat Docker elke ontwikkelaar starten op een veiligere fundering."

De gratis Docker Hardened Images zijn vanaf vandaag beschikbaar via dhi.io en Docker Hub.