Docker hat angekündigt, seine sogenannten Docker Hardened Images (DHI) künftig frei und quelloffen bereitzustellen. Die Images wurden ursprünglich im Mai 2025 eingeführt, um eine sicherere Grundlage für containerbasierte Anwendungen zu schaffen. Angesichts stark wachsender Supply-Chain-Angriffe – laut Docker mit Schäden von über 60 Milliarden US-Dollar im Jahr 2025 – sieht das Unternehmen hier eine branchenweite Verantwortung. Container sind für viele Organisationen der Standardweg in die Produktion, entsprechend groß ist der Einfluss grundlegender Basis-Images.

Minimalistische Images

Die Docker Hardened Images sind minimal gehaltene, produktionsreife Container-Images, die auf bekannten Open-Source-Distributionen wie Debian und Alpine basieren. Laut Docker wurden seit dem Start mehr als 1.000 Images und Helm-Charts gehärtet. Mit der Öffnung des Angebots stehen die Images nun allen Entwicklern ohne Einschränkungen zur Verfügung, lizenziert unter Apache 2.0. Ziel ist es, Sicherheitsmechanismen bereits ab dem ersten „docker build“ fest zu verankern.

Ein zentrales Merkmal von DHI ist die konsequente Transparenz. Jedes Image enthält eine vollständige Software Bill of Materials (SBOM), nachvollziehbare Build-Provenance nach SLSA Level 3 sowie offen ausgewiesene Schwachstellen auf Basis öffentlicher CVE-Daten. Docker betont, dass bekannte Sicherheitslücken nicht verschleiert werden, selbst wenn Patches noch in Arbeit sind. Dadurch sollen Anwender jederzeit ein realistisches Bild ihres Sicherheitsstatus erhalten.

Gehärtete MCP-Server

Parallel zur Freigabe der Images baut Docker das Ökosystem weiter aus. Neben gehärteten Helm-Charts für Kubernetes-Umgebungen wurden auch sogenannte Hardened MCP Server vorgestellt, etwa für MongoDB, Grafana oder GitHub. Diese sollen sicherheitsrelevante Prinzipien auf die Schnittstellen moderner, agentenbasierter Anwendungen übertragen. In den kommenden Monaten plant Docker zudem gehärtete Bibliotheken, Systempakete und weitere Basiskomponenten.

Für Organisationen mit besonders hohen Anforderungen bleibt ein kommerzielles Angebot bestehen. Docker Hardened Images Enterprise umfasst unter anderem garantierte Reaktionszeiten von sieben Tagen für kritische CVEs, Support für regulierte Umgebungen sowie Build-Services zur individuellen Anpassung der Images. Mit der Öffnung der Basisversion verfolgt Docker jedoch das erklärte Ziel, die Einstiegshürde für sichere Container signifikant zu senken und einen neuen Sicherheitsstandard im Container-Ökosystem zu etablieren.