In einem bedeutenden Schritt, der die DevSecOps-Landschaft verändern wird, hat das Unternehmen Docker angekündigt, dass sein Katalog an „Hardened Images“ (gehärteten Images) nun kostenlos und Open Source ist.
Zuvor ein Premium-Angebot, das nur über Unternehmensabonnements zugänglich war, zielt dieser Wechsel darauf ab, einen neuen Sicherheitsstandard für die Software-Lieferkette zu etablieren.
Für DevOps-Teams, R&D-Manager und CISOs signalisiert diese Ankündigung einen entscheidenden Wendepunkt:
„Secure by default“ (Sicherheit als Standard) ist kein Luxusfeature mehr, sondern ein grundlegender Baustein.
Hier ist eine Aufschlüsselung dessen, was dies für Ihre Infrastruktur bedeutet und wie Sie sich im neuen gestaffelten Angebot zurechtfinden.
Was sind „Hardened Images“?
Kurz gesagt sind Hardened Images (gehärtete Images) Container-Images, die für den Produktionseinsatz aggressiv minimiert und gesichert wurden.
Im Gegensatz zu Standard-Basis-Images (wie einem generischen ubuntu– oder node-Image), die oft mit Shells, Paketmanagern und ungenutzten Bibliotheken überladen sind, folgen gehärtete Images einem „distroless“- oder minimalen Ansatz. Sie entfernen alles, was für die Ausführung der Anwendung nicht strikt erforderlich ist.
Wichtige technische Merkmale:
- Reduzierte Angriffsfläche: Durch das Entfernen nicht wesentlicher Komponenten (wie bash, apt oder apk) werden potenzielle Einstiegspunkte für Angreifer um bis zu 95 % reduziert.
- Standardmäßig Nicht-Root: Diese Images sind so konfiguriert, dass sie als nicht privilegierter Benutzer ausgeführt werden, was das Risiko von Container-Breakout-Angriffen mindert.
- Nachgewiesene Herkunft: Sie verfügen über SLSA (Supply-chain Levels for Software Artifacts) Build Level 3 Provenance, was sicherstellt, dass der Build-Prozess manipulationssicher ist.
- Transparenz: Jedes Image wird mit einer kryptographisch signierten Software Bill of Materials (SBOM) und transparenten Daten zu Schwachstellen (CVE) ausgeliefert.
Was bedeutet dieser Schritt für die Nutzer?
Die Entscheidung von Docker, diese Images unter der Apache 2.0-Lizenz als Open Source bereitzustellen, demokratisiert den Zugang zu hochgradiger Sicherheit.
- Standardisierung der Sicherheit der Lieferkette:
Für CISOs entfällt damit der Aufwand, Budgets für sichere Basis-Images rechtfertigen zu müssen. Entwicklungsteams können nun ohne Beschaffungsverzögerungen sofort auf sichere Grundlagen zugreifen. Dies hebt effektiv die „Armutsgrenze“ der Container-Sicherheit an – selbst kleine Startups können nun mit denselben strengen Standards deployen wie Großunternehmen.
- Operative Effizienz für DevOps:
Für DevOps-Experten reduziert dies die Mühe, eigene „Golden Images“ zu pflegen. Anstatt eigene minimale Basis-Images von Grund auf neu zu erstellen und zu patchen, können Sie sich auf den gepflegten Katalog von Docker verlassen. Dies verlagert die Verantwortung für das Patchen des Basis-Betriebssystems (z. B. für Alpine- oder Debian-Layer) zurück zu Docker, sodass sich Ihr Team auf die Anwendungslogik konzentrieren kann.
- Reibungslose Einführung:
Da diese Images auf vertrauten Grundlagen wie Alpine und Debian aufbauen, sind sie als direkter Ersatz konzipiert. Die Migration erfordert in der Regel nur minimale Änderungen an bestehenden Dockerfiles, wobei Entwickler das Fehlen einer Shell beim Debuggen berücksichtigen müssen (was ephemere Debug-Container erfordert).
Was ist kostenlos enthalten?
Die „Free“-Stufe ist umfangreich und deckt die Bedürfnisse der meisten allgemeinen Entwicklungs- und Produktionsanwendungsfälle ab.
- Zugriff auf den gesamten Katalog: Alle über 1.000 gehärteten Images und Helm-Charts sind kostenlos verfügbar.
- Sicherheits-Metadaten: Sie erhalten vollen Zugriff auf die SBOMs, Schwachstellenberichte und SLSA-Herkunftsdaten.
- Open-Source-Lizenz: Die Images sind unter Apache 2.0 lizenziert, was eine breite Nutzung und Modifikation ohne proprietären Vendor-Lock-in ermöglicht.
Build-Updates: Die Images werden kontinuierlich gescannt und von Docker aktualisiert, um die CVE-Anzahl nahe Null zu halten.
Was kostet extra? (Der Enterprise-Unterschied)
Während die Bits kostenlos sind, bleiben die Garantien und Compliance-Funktionen kostenpflichtig. R&D-Manager und CISOs in regulierten Branchen müssen sich weiterhin die Enterprise-Stufe ansehen.
Die wichtigsten Unterscheidungsmerkmale des kostenpflichtigen Modells sind:
| Funktion | Free Tier | Enterprise Tier |
| SLA für Patching | Updates nach bestem Bemühen | 7-Tage-Behebungs-SLA für kritische CVEs (mit Roadmap auf 24 Stunden) |
| Compliance | Standard-Sicherheit | FIPS-aktivierte und DoD STIG-ready Versionen |
| Anpassung | Standard-Images | Sichere Anpassung unter Beibehaltung der Herkunftsnachweise |
| Legacy-Support | Keiner | Extended Lifecycle Support (ELS): Patches für bis zu 5 Jahre nach dem Upstream End-of-Life |
Fazit:
Der Schritt von Docker erkennt an, dass Sicherheit im Jahr 2026 kein Bonus sein kann, sondern der Standard sein muss.
Indem gehärtete Images kostenlos gemacht werden, ermöglicht Docker Organisationen, ihre Lieferkette „left of boom“ (präventiv) zu sichern. Für die meisten Nutzer ist die kostenlose Stufe ein logisches Upgrade gegenüber Standard-Images.
Für Unternehmen, die jedoch strenge regulatorische Compliance (FedRAMP, HIPAA) oder garantierte Patching-SLAs benötigen, bleibt das kommerzielle Modell unverzichtbar.
Über ALM Toolbox:
ALM Toolbox ist in vielen Ländern ein offizieller „Preferred Partner“ von Docker und verfügt über umfassende Erfahrung mit Docker-Produkten, sowohl auf der professionellen/technologischen als auch auf der kommerziellen Seite (Lizenzvertrieb und ordnungsgemäßes, kosteneffizientes Lizenzmanagement).
Das Unternehmen bietet eine breite Palette von Lösungen rund um das Produkt an, einschließlich Umgebungsdesign und -einrichtung, Managed Services in einer privaten Cloud, Beratung, Lizenzvertrieb, Integration mit ergänzenden Tools (wie GitHub, GitLab, Jenkins, SonarQube, Argo, Bitbucket, Azure DevOps, Kubernetes), Schulungen und mehr.
Für weitere Details kontaktieren Sie uns: docker@almtoolbox.com
oder rufen Sie uns an: +31 85 064 4633 oder 866-503-1471 (USA / Kanada)
