Docker stellt gehärtete Container-Images für alle kostenlos bereit

Docker revolutioniert die Softwaresicherheit, indem es seine gesamte Bibliothek an gehärteten Images für alle Entwickler freigibt. Die bisherige Enterprise-Lösung ist nun Open Source – eine strategische Antwort auf die wachsende Bedrohung durch Lieferkettenangriffe.

Ein strategischer Schwenk für mehr Sicherheit

In einem strategischen Schwenk hat Docker Inc. seinen gesamten Katalog an Docker Hardened Images (DHI) für alle Entwickler kostenlos und als Open Source freigegeben. Die seit Mai 2025 nur für Enterprise-Kunden verfügbaren, produktionsreifen Container-Images stehen ab sofort unter der Apache-2.0-Lizenz. Die Ankündigung vom 17. Dezember zielt darauf ab, den Zugang zu „Secure-by-Design“-Infrastruktur zu demokratisieren und kritische Schwachstellen im globalen Software-Ökosystem zu adressieren.

„Sicherheit muss am frühesten Punkt der Entwicklung beginnen und für jeden Entwickler verfügbar sein“, erklärt Mark Cavage, President und COO von Docker. „Indem wir gehärtete Images frei verfügbar machen, geben wir der gesamten Branche die bestmögliche Basis zum Aufbau.“

Passend zum Thema Software-Lieferkette und Container-Sicherheit — viele Organisationen unterschätzen, wie stark unsaubere Basis-Images Risiken in CI/CD-Pipelines erhöhen. Ein kostenloses E‑Book zeigt praxisnahe Maßnahmen, mit denen Entwickler und Security-Teams Container-Workloads, SBOMs und Build-Prozesse absichern können. Ideal für DevOps-Teams, SREs und IT‑Sicherheitsverantwortliche, die Angriffsflächen reduzieren wollen. Gratis Cyber-Security-Report herunterladen

Ab sofort können Entwickler über 1.000 gehärtete Container-Images direkt von Docker Hub beziehen. Das Portfolio umfasst gängige Grundlagen wie Alpine und Debian sowie sprachspezifische Laufzeitumgebungen für Python, Node.js, Java und Go.

Was die gehärteten Images auszeichnet

Der Wert der DHI liegt in ihrer rigorosen Konstruktion. Im Gegensatz zu Standard-Images sind die DHI-Varianten:

• Minimalistisch: Von nicht-essentiellen Komponenten befreit, um die Angriffsfläche zu reduzieren.
• Verifiziert: Ausgestattet mit einer vollständigen Software-Bill-of-Materials (SBOM) und Herkunftsdaten, die den SLSA Build Level 3-Standards entsprechen.
• Sicher: Kontinuierlich gescannt und neu gebaut, um bekannte Schwachstellen (CVEs) zu minimieren.
• Non-Root: Standardmäßig so konfiguriert, dass sie nicht mit Root-Rechten laufen, um Risiken durch Rechteausweitung zu mindern.

Durch die Abschaffung der Bezahlschranke schließt Docker eine wachsende „Sicherheitslücke“. Bislang mussten Einzelentwickler und kleine Teams oft auf ungeprüfte Basis-Images zurückgreifen, da Enterprise-Lösungen zu teuer waren.

Das neue Modell: Kostenlos vs. DHI Enterprise

Während der Kernkatalog nun kostenlos ist, führt Docker eine klare Trennung zwischen dem Open-Source-Angebot und seiner kommerziellen Variante DHI Enterprise ein.

Die kostenlose Stufe bietet Zugang zu den sicheren Images und ihren SBOMs. Für Organisationen mit strengen Compliance-Vorgaben bleibt der kostenpflichtige Enterprise-Dienst die Lösung. Die wichtigsten Unterschiede:

• Service-Level-Agreements (SLAs): Kritische CVEs werden innerhalb von 7 Tagen, oft sogar in 24 Stunden, behoben.
• Compliance: Zugang zu FIPS- und STIG-fähigen Image-Varianten für Behörden und regulierte Branchen.
• Anpassung: Möglichkeit, Images mit spezifischen Zertifikaten und Konfigurationen anzupassen.

Zusätzlich führt Docker DHI Extended Lifecycle Support (ELS) ein. Dieser kostenpflichtige Zusatzdienst bietet fünf Jahre lang Sicherheitspatches für Software, deren offizieller Support bereits eingestellt wurde.

Sicherheit für die KI-Lieferkette

Ein zentraler Bestandteil der Neuauflage ist die Ausweitung der Härtungsprotokolle auf KI-Infrastruktur. Angesichts des Booms KI-nativer Anwendungen veröffentlicht Docker gehärtete Versionen von Servern für das Model Context Protocol (MCP).

Diese spezialisierten Images sichern „agentische“ Workflows, bei denen KI-Agenten mit externen Systemen interagieren. Die erste Charge umfasst gehärtete MCP-Server für beliebte Tools wie MongoDB, Grafana und GitHub. Docker positioniert sich damit als zentraler Akteur im aufstrebenden „AI Ops“-Sicherheitsumfeld.

Marktimpact und Branchenkontext

Der Schritt zur Open-Source-Freigabe kommt zu einem kritischen Zeitpunkt: Angriffe auf Software-Lieferketten sollen Unternehmen 2025 weltweit über 60 Milliarden Euro kosten. Indem Docker eine vertrauenswürdige Basis kostenlos bereitstellt, hebt es die Sicherheitsstandards für das gesamte Ökosystem an.

Branchenbeobachter sehen darin eine strategische Antwort auf die zunehmende Standardisierung von Container-Tools. Während Kubernetes und Cloud-Register eigene Basis-Images anbieten, stärkt Docker seine Relevanz durch seinen Ruf für herausragende Developer Experience und Vertrauen.

Ausblick auf 2026: Sicherheit als Standard

Für die breite Einführung der kostenlosen Images wird erwartet, dass sie den „Lärm“ in Schwachstellenscannern reduzieren, da Entwickler unsaubere Standard-Images durch die sauberen DHI-Pendants ersetzen.

Docker plant zudem, DHI tiefer in sein Ökosystem zu integrieren. Neue Tool-Updates sollen es Dockers KI-Assistenten ermöglichen, bestehende Dockerfiles zu scannen und automatisch das entsprechende gehärtete Image vorzuschlagen oder anzuwenden.

Die Botschaft für Entwickler ist klar: Die Tage, in denen auf unsicheren, aufgeblähten Grundlagen aufgebaut wurde, sind gezählt. Mit den kostenlosen DHI ist „Secure by Default“ kein Luxusfeature mehr, sondern Standard.

PS: Docker erweitert Härtungsprotokolle sogar auf KI-Infrastruktur — gerade für Unternehmen mit KI-Workloads ist ein pragmatischer Schutzbestandteil entscheidend. Ein kompakter Leitfaden zeigt, welche konkreten Sicherheitsmaßnahmen (inkl. SBOM‑Nutzung, Build‑Härtung und Monitoring) sich unmittelbar umsetzen lassen, um Lieferkettenrisiken zu reduzieren. Praktische Checklisten unterstützen Entwickler und IT‑Leads beim sofortigen Einsatz. Jetzt kostenlosen Cyber-Security-Leitfaden anfordern