Docker با متنباز و رایگانکردن بیش از ۱۰۰۰ Docker Hardened Image (DHI) تحت لایسنس Apache 2.0، عملاً یک استاندارد جدید در امنیت لایه کانتینر تعریف کرده است.
این تصمیم، مستقیماً تامین امنیت زنجیره تأمین نرمافزار (Software Supply Chain Security) را هدف گرفته و فاصلهی بین «توسعه سریع» و «استقرار امن در محیط عملیاتی» را کاهش میدهد.
Docker Hardened Images (DHI) چیست؟
Docker Hardened Images مجموعهای از ایمیجهای پایهی امن، مینیمال و آمادهی Production هستند که:
مستقیماً توسط Docker نگهداری میشوند
برای کاهش Attack Surface طراحی شدهاند
ریسکهای Supply Chain را در لایه کانتینر کم میکنند
این ایمیجها نخستینبار در می ۲۰۲۵ معرفی شدند و حالا بهصورت کامل متنباز و رایگان در دسترس همه توسعهدهندگان قرار گرفتهاند.
ویژگیهای امنیتی کلیدی Docker Hardened Images (DHI)
بر اساس ارزیابیهای امنیتی Vulnerbyte، مخازن Docker Hardened Images (DHI) در مقایسه با Base Imageهای متداول، دارای ویژگیهای فنی و امنیتی متمایزی هستند، از جمله:
1️⃣ Rootless by Design
ایمیجها بدون دسترسی root اجرا میشوند؛
موضوعی حیاتی برای کاهش Impact در صورت Exploit شدن کانتینر.
2️⃣ Minimized & Stripped
حذف کامپوننتهای غیرضروری
کاهش سطح حمله
کاهش Noise در اسکنهای امنیتی
3️⃣ بدون آسیبپذیری شناختهشده (Known CVE-Free)
Docker ادعا میکند ایمیجها در زمان انتشار:
فاقد CVE شناختهشده هستند
با رویکرد Secure-by-Default منتشر میشوند
4️⃣ پشتیبانی از VEX
پشتیبانی از Vulnerability Exploitability eXchange (VEX) باعث میشود:
مدیریت آسیبپذیریها دقیقتر شود
False Positiveها کاهش پیدا کنند
تمرکز تیم امنیت روی CVEهای واقعاً Exploitable باشد
تعهد امنیتی Docker: انجام Patch در ۷ روز
Docker تضمین میکند:
آسیبپذیریهای جدید در کامپوننتهای DHI
حداکثر ظرف ۷ روز (SLA) در نسخه Enterprise پچ شوند
📌 نسخه رایگان:
همچنان پچ دریافت میکند
اما بدون SLA زمانی مشخص
نسخه تجاری DHI Enterprise:
هدفگذاری Patch در کمتر از ۲۴ ساعت
امکان Customize کردن ایمیجها
تنظیم Runtime
نصب ابزارهای اضافی
امنیت زنجیره تأمین: فراتر از ادعا
Docker تأکید کرده که متنباز شدن DHI به معنی کاهش امنیت نیست:
✔️ SBOM قابل راستیآزمایی
✔️ SLSA Build Level 3 Provenance
✔️ Proof of Authenticity برای هر Image
این موارد، DHI را به گزینهای جدی برای سازمانهایی تبدیل میکند که با:
Compliance
Zero Trust
Secure CI/CD
سر و کار دارند.
تحلیل Vulnerbyte: چرا این تصمیم مهم است؟
از نگاه Vulnerbyte، این حرکت Docker چند پیام روشن دارد:
🔹 امنیت کانتینر دیگر یک Feature لوکس نیست
🔹 Base Image ناامن = ریسک مستقیم Supply Chain
🔹 DevSecOps بدون Image Hardened عملاً ناقص است
Docker با این تصمیم:
Barrier ورود امنیت را کاهش داده
Secure-by-Default را به جریان اصلی توسعه برگردانده
و فشار غیرمستقیمی به سایر Vendorها وارد کرده است
توصیه Vulnerbyte به تیمهای فنی
جایگزینی Base Imageهای عمومی با DHI
بررسی SBOM در Pipeline
استفاده از VEX بهجای Alert Flood
تفکیک محیط Dev و Prod حتی در Image
نگاه امنیتی به Image، نه فقط Runtime
