DockerがHardened Imagesを無料で公開しました。1,000以上のセキュリティ強化済みイメージが利用可能です。しかも、脆弱性を最大95%削減できます。そこで今回は、Docker Hardened Imagesの特徴と使い方を解説します。
Docker Hardened Imagesの特徴
Docker Hardened Images(DHI)はセキュリティ強化コンテナイメージです。DebianとAlpineをベースにしています。また、Apache 2.0ライセンスで無料公開されました。つまり、誰でも自由に使えます。特に2025年5月に有償で提供開始された後、12月に無料化されました。さらに、不要なシェルやパッケージマネージャーが排除されています。そのため、攻撃対象面が大幅に縮小されています。
標準イメージとの違い
標準イメージと比べてDHIは圧倒的に安全です。具体的には、攻撃対象面が最大95%削減されます。また、サイズも最大91%小さくなります。たとえば、412MBのイメージが35MBまで縮小される例もあります。さらに、既知CVEがほぼゼロに近い状態です。しかも、非rootユーザーでの実行がデフォルトです。加えて、SBOM、VEX、SLSA Build L3の透明性も確保されています。
パッチ対応も迅速です。具体的には、重大な脆弱性は7日以内にパッチが提供されます。なお、Enterprise版は24時間SLAを目標としています。また、Python、Go、Javaなどの主要ランタイムに対応しています。そのため、多くのプロジェクトですぐに導入できます。
導入方法と提供形態
DHIはDocker Hubからアクセスできます。無料版のDHI Freeでコア機能が使えます。しかし、SLA対応が必要ならDHI Enterpriseを検討すべきです。さらに、Extended Lifecycle Supportでは上流EOL後5年のサポートもあります。したがって、本番環境のセキュリティ向上には最適な選択肢です。だからこそ、コンテナを使う全ての開発者がDHIへの移行を検討すべきです。