Docker untuk Ekosistem Kontainer yang Lebih Aman: Docker Hardened Images Gratis Dirilis

• Docker Hardened Images (DHI) adalah image kontainer produksi dengan konfigurasi minimal yang diperkuat keamanannya, dan dirilis dengan lisensi Apache 2.0 agar bisa digunakan gratis oleh semua developer
• DHI dibuat berbasis Alpine dan Debian, sehingga mudah diintegrasikan ke workflow yang sudah ada, serta menyediakan fondasi keamanan yang tepercaya melalui SBOM, SLSA Build Level 3, dan pengungkapan CVE yang transparan
• DHI Enterprise untuk kalangan perusahaan mencakup SLA patch CVE dalam 7 hari, image untuk industri teregulasi (FIPS, STIG), dan infrastruktur build kustom, sementara Extended Lifecycle Support (ELS) menyediakan dukungan keamanan tambahan hingga 5 tahun
• Perusahaan besar seperti Adobe, Qualcomm, Google, MongoDB, dan Anaconda telah mengadopsi DHI atau berpartisipasi sebagai mitra untuk memperkuat keamanan rantai pasok perangkat lunak
• Melalui langkah ini, Docker membangun standar industri agar semua developer dan organisasi dapat memulai dari lingkungan kontainer yang aman secara default

Gambaran umum Docker Hardened Images

• Docker Hardened Images (DHI) adalah rangkaian image berfokus pada keamanan yang telah memperkuat lebih dari 1.000 image dan chart Helm sejak dirilis pada Mei 2025
  • Mulai Desember 2025, tersedia gratis dan open source untuk semua developer
  • Didistribusikan dengan lisensi Apache 2.0, tanpa batasan penggunaan, berbagi, maupun modifikasi
• Docker Hub mencatat lebih dari 20 miliar image pull per bulan, dengan lebih dari 26 juta developer di seluruh dunia berpartisipasi dalam ekosistem kontainer
• Serangan rantai pasok menyebabkan kerugian lebih dari 60 miliar dolar AS pada 2025 dan meningkat 3x dibanding 2021, sehingga menegaskan perlunya penguatan keamanan

Fitur utama DHI

• Struktur image aman yang berfokus pada transparansi dan minimalisasi
  • Menggunakan runtime distroless untuk meminimalkan attack surface sambil tetap mempertahankan tool pengembangan yang esensial
  • Semua image menyertakan SBOM lengkap dan informasi provenance SLSA Build Level 3
  • Menjaga transparansi tanpa menyembunyikan kerentanan melalui evaluasi berbasis data CVE publik
  • Semua image mencakup signature verifikasi keaslian
• Berbasis Alpine dan Debian, sehingga tim pengembang yang ada bisa mengadopsinya dengan perubahan minimal
  • AI Assistant dari Docker menganalisis kontainer yang ada untuk merekomendasikan image hardened yang sesuai atau membantu menerapkannya secara otomatis (saat ini masih tahap eksperimen)
• Tetap mempertahankan keamanan sebagai default sambil mengurangi ukuran image hingga 95%
  • Di DHI Enterprise, dijamin hampir nol CVE

DHI Enterprise dan ELS

• DHI Enterprise
  • Menyediakan image yang mendukung FIPS dan STIG untuk industri teregulasi dan lembaga pemerintah
  • Menawarkan kepatuhan terhadap benchmark CIS dan SLA perbaikan CVE kritis dalam 7 hari
  • Memungkinkan kontrol penuh, termasuk kustomisasi image, konfigurasi runtime, serta penambahan sertifikat dan paket
  • Melalui infrastruktur build Docker, provenance build dan kepatuhan dikelola secara otomatis
• DHI Extended Lifecycle Support (ELS)
  • Opsi ekstensi berbayar untuk DHI Enterprise yang menyediakan patch keamanan tambahan hingga 5 tahun
  • Bahkan setelah dukungan upstream berakhir, tetap mempertahankan patch CVE berkelanjutan, pembaruan SBOM, signature, dan kemampuan audit

Ekspansi ekosistem dan kemitraan

• DHI mendorong integrasi rantai pasok aman melalui kerja sama dengan Google, MongoDB, CNCF, Snyk, dan JFrog Xray
  • Snyk dan JFrog Xray mengintegrasikan DHI langsung ke dalam scanner mereka
  • CNCF menilai DHI berkontribusi pada penguatan ekosistem open source
• Perusahaan seperti Adobe, Qualcomm, Attentive, dan Octopus Deploy mencapai peningkatan kepatuhan dan tingkat keamanan melalui DHI
• Perusahaan teknologi utama seperti MongoDB, Anaconda, Socket, Temporal, CircleCI, dan LocalStack mendukung keterbukaan dan keamanan DHI

Docker Hardened Helm Charts dan MCP Servers

• Melalui Hardened Helm Charts, image DHI juga dapat digunakan di lingkungan Kubernetes
• Dengan Hardened MCP Servers, tersedia versi yang diperkuat keamanannya untuk server MCP utama seperti Mongo, Grafana, dan GitHub
  • Ke depannya akan diperluas ke library keamanan dan paket sistem
  • Tujuannya adalah mengamankan aplikasi mulai dari fungsi main() hingga seluruh stack

Filosofi dan visi Docker

• Karena base image menentukan keamanan aplikasi, transparansi penuh dan kepercayaan yang dapat diverifikasi menjadi inti
• DHI menyediakan lingkungan pengembangan dengan keamanan sebagai default, sehingga semua developer dan organisasi dapat memulai dari fondasi keamanan yang setara
• Rilis gratis ini merupakan kelanjutan dari semangat saat Docker Official Images disediakan secara gratis lebih dari 10 tahun lalu
  • Melalui dokumentasi yang jelas, pemeliharaan yang konsisten, dan kemitraan terbuka, Docker ingin meningkatkan level keamanan di seluruh industri

Cara memulai

• Tersedia gratis di katalog Docker Hardened Images
• Integrasikan ke workflow melalui dokumentasi resmi
• Perkuat ekosistem keamanan dengan bergabung ke program mitra
• Docker menyambut partisipasi para developer untuk bersama-sama membangun masa depan keamanan kontainer

Kesimpulan

• Melalui DHI, Docker menghadirkan lingkungan kontainer dengan keamanan sebagai default bagi semua developer
• Langkah ini mempercepat standardisasi industri untuk keamanan rantai pasok perangkat lunak dan bertujuan membangun ekosistem keamanan berkelanjutan berbasis kolaborasi open source