Docker 容器通常包含成百上千的实用工具和库,这对于快速构建和部署服务器软件非常有利,但可能会使安全审计和漏洞修补变得更加困难。Docker 强化镜像正是为了帮助解决这个问题而创建的,现在它们已向所有人免费提供。
Docker 强化镜像,简称 DHI,是用于运行流行编程语言、框架、数据库和各种实用程序的更安全的 Docker 镜像。它们基于 Alpine Linux 和 Debian 构建,并能快速修补已知的安全漏洞。内置软件包的列表通常比其非 DHI 对应版本减少,从而带来更小的攻击面和更小的镜像体积。
您可以查看 Docker 强化镜像库来了解所有可用的软件。一些可用的镜像包括 Python、Rust、MongoDB、各种 MCP 服务器、Dart、.NET、Node.js、Go、MongoDB 以及许多其他软件。在大多数情况下,您只需在 Dockerfile 或 Docker Compose 中将主流镜像替换为其强化版本(例如,将 python:3.13 替换为 dhi.io/python:3.13),然后在镜像初始化后重新添加任何缺失的软件。
Docker 在一篇博客文章中表示:”虽然一些供应商会在其订阅源中压制 CVE 以维持扫描的’绿色’状态,但 Docker 始终是透明的,即使我们仍在开发补丁时也是如此,因为我们从根本上相信,您应该始终了解自己的安全状况。结果是:CVE 大幅减少(DHI 企业版保证接近为零),镜像体积缩小多达 95%,并且安全的默认设置绝不损害透明度或信任。”
Docker 强化镜像以前仅作为付费产品提供,但现在它们已开源(基于 Apache 2.0 许可证),任何人都可以在项目中免费使用。然而,对于有严格安全或法规要求的组织,仍然提供付费的企业版本,并提供可选的长达五年的扩展生命周期支持。
该公司也不仅仅停留在镜像层面。博客文章还提到:”在接下来的几个月里,我们将通过强化库、强化系统包以及其他每个人都依赖的安全组件,将这种强化基础扩展到整个软件栈。目标很简单:能够从 main() 开始向下保护您的应用程序安全。”
您可以查阅 Docker 的文档,获取切换到强化镜像的说明。如果您只是使用已经构建好的安装镜像和容器,那么您无需做任何事情——如果值得投入,项目将会切换到强化镜像。
评论