Dockerによる安全なコンテナエコシステム:無料のDockerハード化イメージ

コンテナはほとんどの開発者にとって本番への普遍的な道であり、Dockerは常にそのエコシステムの管理者でした。Docker Hubは月間 20 0億回以上のプルを抱えており、現在では約 90%の組織がソフトウェア配信ワークフローでコンテナに依存しています。それが私たちに責任を与えます。それは、世界のソフトウェアサプライチェーンの安全確保を支援することです。

なぜでしょうか。サプライチェーン攻撃が爆発的に増加しています。2025年には、2021の3倍に増える600億ドル以上の被害をもたらしました。誰も安全ではありません。すべての言語、すべてのエコシステム、すべての構築・配布のステップがターゲットです。 

このため、 2025年5月に安全で最小限の本番環境対応イメージセットであるDocker Hardened Images(DHI)をリリースし、それ以来、カタログで 1、000 画像、ヘルムチャートをハード化してきました。今日、私たちはDHIをソフトウェア開発者全員に無料でオープンソース化することで、新たな業界標準を確立しています。コンテナエコシステムの 26 Million+開発者全員です。DHIは完全にオープンで、ライセンスの驚きなしに利用・共有・構築が自由であり、Apache 2に裏付けられています。0 免許証。DHIは今や、最初の引き込みから安全で最小限、生産準備が整った基盤を世界に提供しています。

もしあまりにも良すぎると思われるなら、まず結論を言っておきます:すべての開発者とアプリケーションは制限なくDHIを使える(そして使うべきです!)。継続的なセキュリティパッチを 7 日以内に適用する必要がある場合、規制業界向けのイメージ(例:FIPS、FedRAMP)、当社の安全なビルドインフラ上でカスタマイズされたイメージを構築したい場合、またはエンドサービス終了後のセキュリティパッチが必要な場合、DHIは商用サービスを提供しています。簡単です。

DHI導入以来、AdobeやQualcommのような企業は、企業全体のセキュリティを最大化するためにDockerに賭けてきました。一方、AttentiveやOctopus Deployのようなスタートアップは、コンプライアンス取得と大企業への販売を加速させています。

今では、すべての人とアプリケーションが最初の docker buildから安全に構築できます。他の不透明または独自的なハード化イメージとは異なり、DHIはAlpineやDebianと互換性があり、これらはチームがすでに知り、最小限の変更で採用可能な信頼できるオープンソース基盤です。また、一部のベンダーはグリーンスキャナーを維持するためにフィード内でCVEを抑制しますが、Docker は常に透明であり 、パッチ作業中でも常に透明です。なぜなら、私たちは根本的にセキュリティ体制を常に把握すべきだと信じているからです。その結果、CVEは劇的に削減され(DHI Enterpriseではほぼゼロ)、画像は最大 95 %小さくなり、透明性や信頼を損なうことなくデフォルトが安全に保たれました。

他にもまだあります。すでにKubernetes環境でDHIイメージを活用するためのHardened Helm Chartsを構築しています。それらもオープンソースです。そして今日、その基盤をHardened MCP Serversで拡充しています。私たちは、すべてのエージェント型アプリの基盤であるMCPインターフェース層にDHIのセキュリティ原則を導入しています。そして今からは、開発者が主に依存するMCPサーバーの強化版(Mongo、Grafana、GitHubなど)を運用できるようになりました。そして、これはほんの始まりに過ぎません。今後数か月で、このハードな基盤をソフトウェアスタック全体に拡張し、ハード化されたライブラリ、ハード化されたシステムパッケージ、その他誰もが依存する安全なコンポーネントを導入していきます。目標はシンプルです: main() から下から申請を安全に守ること。 

Docker Hardened Imagesの理念

ベースイメージはアプリケーションのセキュリティを最初の層から定義するため、何が入っているのか正確に把握することが重要です。私たちのアプローチはこうです。

第一に、私たちの最小限で意見を述べた安全な画像のすべての部分において完全な透明性を。

DHIはディストロレスランタイムを使って攻撃対象を縮小しつつ、開発者が依存するツールを維持しています。しかし、セキュリティは単なるミニマリズム以上のものだ。完全な透明性が求められます。多くのベンダーは、独自のCVEスコアリングや脆弱性のダウングレード、SLSAビルドレベル 3到達の曖昧な約束で真実を曖昧にしています。

DHIは別の道を歩みます。すべての画像には完全かつ検証可能なSBOMが含まれています。すべてのビルドはSLSAビルドレベル 3 由来を提供します。すべての脆弱性は透明な公開CVEデータを用いて評価されます。修正していない脆弱性を隠すことはありません。すべての画像には本物の証明が付いています。その結果、信頼できる安全な基盤が、明確に構築され、証拠に基づいて検証され、妥協なく提供されるものです。

第二に、安全な画像への移行には実際の作業が必要であり、誰もそれを否定すべきではありません。しかし、Dockerらしく、DXを非常に使いやすくすることに注力しています。前述の通り、DHIは世界がすでに信頼しているオープンソース基盤であるDebianやAlpineの上に構築されているため、チームは最小限の摩擦で採用できます。その摩擦をさらに減らしています。 DockerのAIアシスタントは 既存のコンテナをスキャンし、同等の強化画像を推奨または適用できます。この機能はまだ初日なので実験的な段階ですが、実際の移行から学びながらすぐにGAを公開します。 

最後に、最も厳しいSLAや最長のサポート期間を考慮し、DHIのすべての部分が必要なときにそれをサポートできるよう努めています。

DHIの商用サービスであるDHI Enterpriseは、重要なCVE修復に対して 7日のコミットメントを含み、1日以内に向けたロードマップを掲げています。規制された産業やミッションクリティカルなシステムにとって、このレベルの信頼は必須です。それを達成するのは難しい。これは深いテストの自動化と、上流から分岐するパッチを受け入れるまで維持する能力を必要とします。だからこそ、多くの組織は自力でこれを実行できません。さらに、DHI EnterpriseはDockerのビルドインフラを活用し、画像ライフサイクルの全管理を代行し、ビルドの出所とコンプライアンスが維持されることを保証し、組織がDHIイメージを簡単にカスタマイズできるようにします。例えば、通常、組織は証明書や鍵、システムパッケージ、スクリプトなどを追加する必要があります。DHIのビルドサービスはこれを簡単にしてくれます。

パッチ適用SLAやビルドサービスには実際の運用コストがかかるため、DHIはこれまで一つの商用サービスでした。しかし、私たちのビジョンは常により広いものでした。このレベルのセキュリティは誰にでも利用可能であるべきであり、タイミングが重要です。証拠、インフラ、業界とのパートナーシップが整った今、私たちはそのビジョンを実現しています。だからこそ、今日はDockerのHardened Imagesを無料かつオープンソースにしています。

この動きは、10年以上前にDocker公式イメージを定義した精神と同じものです。無料で提供し、維持し、明確なドキュメント、ベストプラクティス、継続的なメンテナンスで裏付けました。その財団は、何百万人もの開発者やパートナーの出発点となりました。

今またやってる。DHIの無料化は、Google、MongoDB、CNCFなど、SnykやJFrog Xrayのようなセキュリティプラットフォームにハード画像を提供し、DHIをスキャナーに直接統合するという急速に拡大するパートナーエコシステムによって支えられています。私たちは共に、業界全体のセキュリティ基準を引き上げる統一されたエンドツーエンドのサプライチェーンを構築しています。

すべてのチームとビジネスにとって安全な道筋

今や誰もがDHIから始めるための確かな基盤を持っています。しかし、あらゆる形態や規模の企業には、それ以上のものが必要なことが多いのです。コンプライアンス要件やリスク許容度から、ソースが利用可能になった瞬間に上流に先行してCVEパッチが必要になる場合があります。企業や政府部門で事業を行う企業は、FIPSやSTIGなどの厳格な基準を満たす必要があります。また、本番環境は決して止まらないため、多くの組織は上流のサポート終了後もセキュリティパッチ適用を継続する必要があります。

そのため、現在は異なるセキュリティ現実に対応した3つのDHIオプションを提供しています。

Docker強化イメージ: みんなに無料で。DHIは現代ソフトウェアにふさわしい基盤です。最小限のハード化画像、簡単な移行、完全な透明性、そしてAlpineとDebianを基盤としたオープンエコシステムです。

Docker Hardened Images(DHI)エンタープライズ: DHIエンタープライズは、厳格なセキュリティや規制要件を持つ組織、政府、機関が依存する保証を提供します。FIPS対応かつSTIG対応の画像。CISベンチマークの遵守。重要な CVE に対して 7 日以内に信頼できる対応策です。そして、1日目(あるいはそれ以下の)修正に向かうにつれて、SLAはどんどん短くなっています。

より多くのコントロールが必要なチームには、DHI Enterpriseが対応します。画像を変えてください。ランタイムを設定しましょう。curlのようなツールをインストールしましょう。証明書を追加しましょう。DHI Enterpriseは無制限のカスタマイズ、完全なカタログアクセス、そして自分のペースで画像を形作りながら安全を保つ機能を提供します。

DHI拡張ライフサイクルサポート(ELS): ELSはDHIエンタープライズの有料アドオンであり、ソフトウェアの最も難しい問題の一つを解決するために構築されています。上流のサポートが終了するとパッチは停止しますが、脆弱性は止まりません。スキャナーが点灯し、監査人は回答を求め、コンプライアンス体制は検証済みの修正を求めます。ELSは、最大5年間の追加セキュリティカバー、継続的なCVEパッチ、更新されたSBOMとプロビナンス、そしてコンプライアンスのための継続的な署名と監査でこのサイクルを終わらせます。

これらの選択肢については こちらで詳しく知ることができます。

始める方法はこちらです

コンテナエコシステムの安全確保は、私たちが共に行うことです。今日、私たちは世界に築くためのより強固な基盤を提供しています。今では、すべての開発者、すべてのオープンソースプロジェクト、すべてのソフトウェアベンダー、すべてのプラットフォームにDockerハードンドイメージをデフォルトにしたいと考えています。

• 発表ウェ ビナー に参加して、実際に体験し、最新情報を学んでください。
• 使い始め DockerのHardened Imagesを今日無料で入手可能です。
• ドキュメントを詳しく見 て、DHIをワークフローに取り入れてみてください               
• パートナープログラムに参加して、すべての人のセキュリティ基準を引き上げる手助けをしましょう。    

最後に、私たちはまだ始まったばかりです。もしこれを読んでいて、コンテナセキュリティの未来を築く手助けをしたいと思われるなら、ぜひお会いしたいです。ぜひご参加ください。

著者注

クリスチャン・デュピュイ

本日の発表は、私たちの業界にとって画期的な瞬間となります。Dockerは、すべての開発者、すべての組織、すべてのオープンソースプロジェクトにとって、アプリケーションの安全性を根本的に変えています。 

この瞬間は、Atomistの初期のイベント駆動型SBOMおよび脆弱性管理システムを構築し、今日もDocker Scoutの基盤となっていることから、今年初めにDHIを発表し、今では誰でも無料で利用できるようになったことから、長年の努力の集大成を表しています。このビジョンを実現してくれたDockerの素晴らしい同僚や友人たち、そして初日から私たちを信じ、この旅路を導きフィードバックで形作ってくれたパートナーやお客様に深く感謝しています。

しかし、これは重要な節目でありながら、あくまで節目に過ぎません。まだ終わっておらず、さらなる革新が控えています。実際、私たちはすでに次に何をするかに取り組んでいます。

セキュリティはチームスポーツであり、今日Dockerは誰にでもその場を開放しました。遊ぼう。

マイケル・ドノバン

私はできるだけ多くの開発者に良い影響を与えるためにDockerに参加しました。このローンチにより、すべての開発者は作業量を増やすことなくアプリケーションを保護する権利が与えられます。これはコンテナエコシステムと私たちが日々使うデジタル体験における画期的な転換点を示しています。

私たちが作り上げた製品と、毎日サービスしているお客様に非常に誇りを持っています。素晴らしいチームと一緒にこの作品を築くのに人生最高の時間を過ごし、これから何が起こるのかにこれまで以上にワクワクしています。