Docker untuk Ekosistem Kontainer yang Lebih Aman: Docker Hardened Images Gratis Dirilis

 (docker.com)
6 poin oleh GN⁺ 2025-12-19 | 1 komentar | Bagikan ke WhatsApp
  • Docker Hardened Images (DHI) adalah image kontainer produksi dengan konfigurasi minimal yang diperkuat keamanannya, dan dirilis dengan lisensi Apache 2.0 agar bisa digunakan gratis oleh semua developer
  • DHI dibuat berbasis Alpine dan Debian, sehingga mudah diintegrasikan ke workflow yang sudah ada, serta menyediakan fondasi keamanan yang tepercaya melalui SBOM, SLSA Build Level 3, dan pengungkapan CVE yang transparan
  • DHI Enterprise untuk kalangan perusahaan mencakup SLA patch CVE dalam 7 hari, image untuk industri teregulasi (FIPS, STIG), dan infrastruktur build kustom, sementara Extended Lifecycle Support (ELS) menyediakan dukungan keamanan tambahan hingga 5 tahun
  • Perusahaan besar seperti Adobe, Qualcomm, Google, MongoDB, dan Anaconda telah mengadopsi DHI atau berpartisipasi sebagai mitra untuk memperkuat keamanan rantai pasok perangkat lunak
  • Melalui langkah ini, Docker membangun standar industri agar semua developer dan organisasi dapat memulai dari lingkungan kontainer yang aman secara default

Gambaran umum Docker Hardened Images

  • Docker Hardened Images (DHI) adalah rangkaian image berfokus pada keamanan yang telah memperkuat lebih dari 1.000 image dan chart Helm sejak dirilis pada Mei 2025
    • Mulai Desember 2025, tersedia gratis dan open source untuk semua developer
    • Didistribusikan dengan lisensi Apache 2.0, tanpa batasan penggunaan, berbagi, maupun modifikasi
  • Docker Hub mencatat lebih dari 20 miliar image pull per bulan, dengan lebih dari 26 juta developer di seluruh dunia berpartisipasi dalam ekosistem kontainer
  • Serangan rantai pasok menyebabkan kerugian lebih dari 60 miliar dolar AS pada 2025 dan meningkat 3x dibanding 2021, sehingga menegaskan perlunya penguatan keamanan

Fitur utama DHI

  • Struktur image aman yang berfokus pada transparansi dan minimalisasi
    • Menggunakan runtime distroless untuk meminimalkan attack surface sambil tetap mempertahankan tool pengembangan yang esensial
    • Semua image menyertakan SBOM lengkap dan informasi provenance SLSA Build Level 3
    • Menjaga transparansi tanpa menyembunyikan kerentanan melalui evaluasi berbasis data CVE publik
    • Semua image mencakup signature verifikasi keaslian
  • Berbasis Alpine dan Debian, sehingga tim pengembang yang ada bisa mengadopsinya dengan perubahan minimal
    • AI Assistant dari Docker menganalisis kontainer yang ada untuk merekomendasikan image hardened yang sesuai atau membantu menerapkannya secara otomatis (saat ini masih tahap eksperimen)
    Iklan
  • Tetap mempertahankan keamanan sebagai default sambil mengurangi ukuran image hingga 95%
    • Di DHI Enterprise, dijamin hampir nol CVE

DHI Enterprise dan ELS

  • DHI Enterprise
    • Menyediakan image yang mendukung FIPS dan STIG untuk industri teregulasi dan lembaga pemerintah
    • Menawarkan kepatuhan terhadap benchmark CIS dan SLA perbaikan CVE kritis dalam 7 hari
    • Memungkinkan kontrol penuh, termasuk kustomisasi image, konfigurasi runtime, serta penambahan sertifikat dan paket
    • Melalui infrastruktur build Docker, provenance build dan kepatuhan dikelola secara otomatis
  • DHI Extended Lifecycle Support (ELS)
    • Opsi ekstensi berbayar untuk DHI Enterprise yang menyediakan patch keamanan tambahan hingga 5 tahun
    • Bahkan setelah dukungan upstream berakhir, tetap mempertahankan patch CVE berkelanjutan, pembaruan SBOM, signature, dan kemampuan audit
    Iklan

Ekspansi ekosistem dan kemitraan

  • DHI mendorong integrasi rantai pasok aman melalui kerja sama dengan Google, MongoDB, CNCF, Snyk, dan JFrog Xray
    • Snyk dan JFrog Xray mengintegrasikan DHI langsung ke dalam scanner mereka
    • CNCF menilai DHI berkontribusi pada penguatan ekosistem open source
  • Perusahaan seperti Adobe, Qualcomm, Attentive, dan Octopus Deploy mencapai peningkatan kepatuhan dan tingkat keamanan melalui DHI
  • Perusahaan teknologi utama seperti MongoDB, Anaconda, Socket, Temporal, CircleCI, dan LocalStack mendukung keterbukaan dan keamanan DHI

Docker Hardened Helm Charts dan MCP Servers

  • Melalui Hardened Helm Charts, image DHI juga dapat digunakan di lingkungan Kubernetes
  • Dengan Hardened MCP Servers, tersedia versi yang diperkuat keamanannya untuk server MCP utama seperti Mongo, Grafana, dan GitHub
    • Ke depannya akan diperluas ke library keamanan dan paket sistem
    • Tujuannya adalah mengamankan aplikasi mulai dari fungsi main() hingga seluruh stack
Iklan

Filosofi dan visi Docker

  • Karena base image menentukan keamanan aplikasi, transparansi penuh dan kepercayaan yang dapat diverifikasi menjadi inti
  • DHI menyediakan lingkungan pengembangan dengan keamanan sebagai default, sehingga semua developer dan organisasi dapat memulai dari fondasi keamanan yang setara
  • Rilis gratis ini merupakan kelanjutan dari semangat saat Docker Official Images disediakan secara gratis lebih dari 10 tahun lalu
    • Melalui dokumentasi yang jelas, pemeliharaan yang konsisten, dan kemitraan terbuka, Docker ingin meningkatkan level keamanan di seluruh industri

Cara memulai

Kesimpulan

  • Melalui DHI, Docker menghadirkan lingkungan kontainer dengan keamanan sebagai default bagi semua developer
  • Langkah ini mempercepat standardisasi industri untuk keamanan rantai pasok perangkat lunak dan bertujuan membangun ekosistem keamanan berkelanjutan berbasis kolaborasi open source

Bacaan terkait

1 komentar

 
GN⁺ 2025-12-19
Komentar Hacker News

  • Hardened Images (DHI) dari Docker kini tersedia gratis untuk semua orang
    Di industri yang teregulasi seperti perbankan, asuransi, dan lembaga pemerintah, kemungkinan besar ada banyak minat terhadap image yang diperkuat keamanannya seperti ini

    • Setelah kasus Docker yang dulu mengubah registry gratis menjadi berbayar, sulit untuk percaya pada kebijakan gratis dari Docker
      Pola bait and switch seperti ini jadi terlalu umum di seluruh industri
    • Dari sudut pandang saya sebagai CEO VulnFree, pengumuman ini terlihat seperti sekadar strategi pemasaran
      Pertumbuhan Chainguard jauh lebih besar daripada Docker, dan Docker tampaknya sedang berusaha mengejar arus itu
    • Saya mencoba melakukan pull image, tetapi muncul error 401. Harus login? Pendekatan seperti ini terasa aneh untuk sesuatu yang disebut gratis
    • Ada login gate, jadi saya bahkan jadi malas mencoba. Ini friksi yang tidak perlu
    • Pengumuman ini sendiri terasa seperti dibuat oleh LLM

  • Ini terlihat seperti respons Docker terhadap penghentian chart Helm dari Bitnami/VMWare/Broadcom

    • Kemungkinan juga merupakan reaksi terhadap pertumbuhan pesat Chainguard. VC sedang menginvestasikan ratusan juta dolar ke bidang image keamanan, bukan AI
    • Saya juga berpikir begitu

  • Saat pertama melihatnya, ini jelas bukan solusi yang bisa langsung saling menggantikan
    Ada kewajiban login, dan PAT (personal access token) terikat ke akun pribadi
    Dari sudut pandang startup, tidak ada alasan untuk menghubungi soal paket enterprise
    Jika hanya bisa dipakai untuk pengembangan lokal tanpa lingkungan CICD, kegunaannya jadi rendah

    • Docker for Teams ada di kisaran $15 per bulan, dan enterprise hardened images diposisikan terpisah untuk mirroring offline atau kepatuhan regulasi
      Nilai utama image hardened terhadap CVE adalah keandalan dalam skala besar. Sulit secara realistis jika tim harus memindai dan menambal semuanya sendiri

  • Pasar image hardened tampak sudah jenuh
    Di Kubecon pun ada setidaknya 3 perusahaan yang menawarkan layanan serupa
    Chainguard yang pertama membuka pasar ini, dan image 0 CVE sangat membantu startup lolos audit keamanan
    Namun sekarang pesaing seperti Minimus dan Ironbank semakin banyak. Ini positif bagi ekosistem, tetapi ukuran pasarnya sendiri mungkin tidak sebesar itu

    • Masalah sebenarnya bukan kejenuhan pasar, melainkan jika Docker memberikannya gratis, pasar itu sendiri bisa hilang
    • Chainguard sedang berekspansi ke image VM dan repositori per bahasa, tetapi masih dipertanyakan seberapa besar permintaan berbayar di luar industri teregulasi
      Jika Docker menyediakannya gratis, hambatan masuk jadi lebih rendah sehingga mudah untuk mencobanya
    • Image Ironbank juga bisa digunakan oleh organisasi di luar DoD. Cukup mendaftarkan akun
    • Sebagai CEO VulnFree, saya tidak tahu apakah Chainguard memang yang pertama, tetapi tetap ada permintaan yang belum terpenuhi
    • Ironbank sebenarnya melakukan ini lebih dulu daripada Chainguard. Namun kualitasnya rendah, dan ada masalah sering merusak container
      Misalnya terjadi segfault karena perbedaan versi glibc, jadi proses hardening-nya terasa sekadar menyalin binary
      Di pemerintahan atau industri teregulasi, permintaan tetap besar, tetapi sebagai bisnis mandiri keberlanjutannya rendah
      Chainguard terasa bertahan berkat reputasi para pendirinya, dan pada akhirnya mirip model bisnis distribusi Linux
      Bagi perusahaan yang sudah menjalankan distribusi Linux, layanan seperti ini adalah perluasan yang alami

  • Sebagai karyawan Docker, saya ingin menjadikan secure-by-default sebagai titik awal bagi setiap developer
    Semua image kini menyertakan dokumen VEX, attestations, dan metadata untuk meningkatkan transparansi
    Rencananya ini akan diperluas bukan hanya ke base image, tetapi ke seluruh stack seperti server MCP
    Di tier enterprise, fitur seperti SLA patching berkelanjutan, varian FIPS, dan kustomisasi keamanan disediakan secara berbayar
    Dengan cara ini, katalog gratis untuk komunitas tetap bisa dipertahankan

    • Format Dockerfile pada spesifikasi image PHP yang dijadikan contoh terasa tidak familiar
      Saya penasaran apakah ada alat khusus untuk membangun ini

  • Ada kekhawatiran bahwa kebijakan gratis Docker bisa berubah menjadi berbayar kapan saja
    Dulu kasusnya seperti itu pada Docker Desktop dan Registry

    • Jika kejadian seperti ini terulang lagi, perusahaan akan lebih berhati-hati untuk bergantung pada layanan gratis
      Contoh: gugatan class action atas penghentian akun gratis Google G Suite
    • Yang lebih menjengkelkan adalah Docker pernah memblokir konfigurasi di luar registry miliknya sendiri
      Karena itulah Red Hat membuat Podman

  • Menarik bahwa waktu Bitnami menghentikan image hardened gratis bertepatan dengan pengumuman Docker
    Ada kekhawatiran apakah ini akan jadi skenario “gratis dulu lalu berbayar” lagi
    Docker tampaknya selalu mengikuti strategi pertumbuhan ala VC

    1. mengamankan ekosistem dengan gratis
    2. mengunci pengguna lalu menjadikannya berbayar
    3. monetisasi
    • Tim kami sudah memindahkan infrastruktur dari image Bitnami. Kami tidak lagi percaya pada Docker

  • Skrip build yang harus dipelihara Docker tampak cukup rumit
    Contoh: YAML build Traefik
    Sementara itu, Nix sudah memaketkan sebagian besar software, dan containerisasi juga bisa dilakukan tanpa kerja tambahan
    Build yang reproducible dan infrastruktur cache skala besar juga sudah tersedia
    Jika Docker ingin mencapai level ini, mereka harus membangun semuanya sendiri tanpa komunitas

  • Katanya open source, tetapi kode sumber untuk image hardened Traefik tidak terlihat
    YAML katalog hanyalah file konfigurasi sederhana, bukan file build
    Sepertinya dibutuhkan alat bernama dhi, tetapi tidak ada dokumentasinya
    Jika image ini tidak bisa dibangun sendiri di lingkungan offline, sulit menyebutnya sebagai open source yang sesungguhnya

  • Dari sudut pandang saya sebagai CEO VulnFree, pengumuman Docker kali ini adalah pemasaran untuk menahan momentum Chainguard
    Bidang ini kurang inovasi, dan kebanyakan hanya variasi dari model Chainguard
    Setelah Chainguard mendapatkan pendanaan, VC berbondong-bondong masuk ke pasar “image keamanan”, Bitnami mencoba berbayar, dan Docker mengisi celah itu dengan penawaran gratis
    Namun alasan mereka tidak membuka kode sumber cukup jelas — jika dibuka, hambatan masuknya hilang
    Pada tingkat harga saat ini, membangunnya sendiri justru lebih murah
    Nilai sebenarnya dari VulnFree ada pada image hardened kustom yang disesuaikan dengan workflow tim developer