Docker öffnet Zugang zu sicheren Images für Entwicklungsteams aller Größen

Das Unternehmen Docker hat angekündigt, den Zugriff auf sichere Software-Pakete für alle Entwicklungsteams – insbesondere auch in kleinen und mittleren Unternehmen – erschwinglicher machen zu wollen. Laut offizieller Verlautbarung öffnet die Firma dazu team-übergreifend unbegrenzten Zugang auf ihre Docker Hardened Images über ein neues Abonnement-Modell, das sich 30 Tage lang kostenlos testen lässt.

Kompakt und sicher mit reduzierter Angriffsfläche

Von herkömmlichen Container-Images sollen sich Hardened Images vor allem dadurch abheben, dass sie Entwicklungsteams einen nahezu CVE-freien Ansatz (near-zero CVE – Common Vulnerabilities and Exposures) ermöglichen. Jedes Image werde direkt aus dem Quellcode erstellt, kontinuierlich mit Upstream-Patches versorgt und durch das Entfernen unnötiger Komponenten gehärtet. Die minimalistische Herangehensweise reduziere nicht nur die Angriffsfläche, sondern liefert auch einige der kleinsten verfügbaren Images – laut Docker bis zu 95 Prozent kleiner als Alternativen.

Die gehärteten Images erfüllen SLSA-Level 3 und Compliance-Tools wie VEX (Vulnerability Exploitability eXchange) stellen den Teams weitergehende Informationen zu potenziellen Schwachstellen rund um die Images zur Verfügung, die dabei helfen können, sich nur auf die tatsächlich relevanten Sicherheitslücken zu konzentrieren. Docker gibt außerdem ein 7-Tage-Patch-Service-Level-Agreement ab, was bedeutet, dass bei einer neuen CVE, die eine Komponente des Images betrifft, binnen einer Woche eine gepatchte Version veröffentlicht werden muss.

Die Qualität der Hardened Images lässt Docker zudem durch die unabhängige Cybersecurity-Beratung SRLabs validieren. Die Prüfung bestätigt, dass die Images signiert sind, standardmäßig rootless laufen und mit SBOM plus VEX ausgeliefert werden.

Image-Katalog deckt vielfältige Entwicklungsanforderungen ab

Die Hardened Images sind mit weit verbreiteten Linux-Distributionen wie Alpine und Debian kompatibel. Laut Docker gelingt die Migration durch das Ändern einer einzigen Zeile im Dockerfile. Teams können die gehärteten Images individuell anpassen und sofort einsatzbereite Systempakete, Zertifizierungen, Skripte und Tools hinzufügen, ohne die gehärtete Basis zu verlieren.

Der bereitgestellte Katalog an gehärteten Container-Images deckt laut Docker ein breites Spektrum an Entwicklungsanforderungen ab – etwa durch ML- und AI-Images, Programmiersprachen und Runtimes, Datenbanken, Anwendungs-Frameworks sowie zentrale Infrastrukturdienste.

Das neue Angebot steht auf Anfrage in zwei Varianten – für Start-ups und KMU oder für Enterprises – ab sofort zur Verfügung. Für den Zugriff auf die kostenlose Testphase ist ein Docker-Hub-Login erforderlich. Weitergehende Informationen finden sich in der Ankündigung von Docker.

(map)