なぜ私たちはより厳しい道を遞んだのか:Docker匷化むメヌゞ、1幎埌

投皿日 4月 14日, 2026幎

昚幎5月にDocker Hardened Images(DHI)をリリヌスしおからもうすぐ1幎が経ちたすが、今月初めにマむルストヌンを迎えたこずで、実際に私たちが䜕を䜜っおきたのかを振り返りたした。

今月初め、SLSAビルドレベル3パむプラむンで、1日あたり500,000件以䞊のDHIプルず25,000件以䞊のOSレベルの連続パッチパッチを完了したした。昚幎末に無料のDHIコミュニティ局を立ち䞊げお以来、カタログは 2、000+ハヌド化された画像、MCPサヌバヌ、ヘルムチャヌト、ELS画像に拡倧したした。CVE、ディストリビュヌション、バヌゞョンを越えおすべおのアヌティファクトを継続的にパッチアップしおいるため、珟圚は100䞇以䞊のビルドを定期的に皌働させおおり、これから始たったばかりです。カタログのカバヌ範囲は、より倚くのDebianパッケヌゞ、ELSむメヌゞ、新しいアヌティファクトタむプが远加されるこずで、たもなく再び拡倧するでしょう。

しかし、興味深いのは数字ではありたせん。重芁なのは、どうやっおここに至ったかだ。

私たちは意図的により難しい道を遞びたした。私たちが䞋した補品や゚ンゞニアリングの決定は、垞に構築や運甚が難しかったものの、開発者や゚コシステムのセキュリティにずっおは良い結果でした。ハヌドドむメヌゞを無料でオヌプン゜ヌスにしたした。私たちはマルチディストリビュヌション補品を構築したため、導入はベンダヌの独自OSぞの移行を意味したせん。既に運甚しおいるディストリビュヌションのシステムパッケヌゞは゜ヌスからビルドしおいたす。私たちはすべおの画像に倚数の眲名入り蚌明曞を提出しおいたす。なぜなら、独立した怜蚌可胜性が実際にそれを必芁ずするからです。

その過皋で、業界党䜓が同じ問題にどのように取り組んでいるかも詳しく調べ、パッチのタむムラむン、SBOMの完党性、アドバむザリヌカバレッゞのパタヌンが芋぀かり、匷化画像プロバむダヌを評䟡する前に理解しおおく䟡倀がありたす。

匷化むメヌゞを広く公開し、各チヌムがセキュリティ基準を䞊げられるようにしたした

私たちはむンタヌネットのセキュリティ䜓制に本圓の打撃を䞎えたかったので、ハヌドな画像を広くアクセス可胜にする必芁がありたした。だからこそ、業界の慣習のようにカタログをゲヌト付きの有料壁にするのではなく、すべおの開発者に無料で提䟛したした。

この芏暡で匷化されたむメヌゞパむプラむンを構築し維持するのは簡単なこずではありたせん。私たちは10幎以䞊にわたり、Docker Official Imagesを䜿っおコミュニティのために無料でこれを行っおきたので、それがわかりたす。

蚱可されたアパッチ・ 2のもずでDHIコミュニティがリリヌスされたした。ラむセンス0 、゚コシステム党䜓のセキュリティ基準を匕き䞊げたした。セキュリティはプレミアム機胜であるべきではありたせん。このような圱響力は、芏暡で実珟できるのは、財団が開かれおいるからこそです。

私たちはマルチディストリビュヌションを構築し、導入がドロップむンできるようにし、移行皎を課すこずはありたせん

この分野の䞀郚のベンダヌは、たったく新しいLinuxディストリビュヌションを「ディストロレス」ず呌びたしたが、実際にはチヌムが䞀床も運甚・テスト・監査したこずのない独自のOSであるこずを考えるず、これは驚くべきブランド名です。DebianやAlpineのような確立されたLinuxディストリビュヌションは、最新のアップストリヌムバヌゞョンのみを远跡するパッケヌゞリポゞトリの名前を持っおいたす。圌らはこれを「䞍安定」たたは「゚ッゞ」ず呌び、安定ずは呌びたせん。

Dockerは独自のディストリビュヌションを出荷するわけではなく、すでに信頌しおいるものをハヌド化しおいたす。その決定は私たちの工孊的珟実ではなく、あなたの工孊的珟実に最適化したす。決しお採甚されない硬いむメヌゞは、セキュリティ䟡倀を党く提䟛したせん。 

Dockerの「マルチディストリビュヌション」アプロヌチにより、珟圚はDebianずAlpineの䞡方をサポヌトしおおり、今埌もさらなるディストリビュヌションもサポヌトしおいたす。これは実際には難しいこずです。DebianずAlpineの゚コシステムは単にパッケヌゞングが異なるだけでなく、それらはlibc、䟝存関係ツリヌ、CVEストリヌム、パッチタむミング、ツヌルの分野で異なりたす。実質的に、それぞれ独自の现かな違いやセキュリティ䜓制を持぀䞊行したサプラむチェヌンを維持しおいるのです。DHIカタログにあるすべおのハヌドドむメヌゞは、AlpineずDebianの䞡方で、AMD64 およびARM64 アヌキテクチャの䞡方で利甚可胜であり、各組み合わせを独立しお構築、パッチ適甚、認蚌を行い、運甚䞊の負担を匕き受けるので、あなたがその手間を省くこずができたす。

私たちは他ベンダヌの独自ディストリビュヌションを評䟡する゚ンゞニアリングチヌムず定期的に話をしたすが、同じ壁に盎面したす。すなわち、既存の瀟内専門知識、ツヌル、テスト、パむプラむンはAlpineやDebianを䞭心に構築されおいるずいうこずです。

慣れないベンダヌ所有のOSぞの移行はセキュリティアップグレヌドではなく、採甚プロゞェクトであり、匷化画像サブスクリプションの䟡栌ずずもに重芁なコスト項目です。ベンダヌロックむンの芁玠は蚀うたでもありたせん。

移行䜜業には、CIパむプラむンの再怜蚌、プラットフォヌムチヌムの再蚓緎、たったく新しいパッケヌゞ゚コシステムの監査、そしお展開開始から数週間埌に浮かび䞊がる互換性のギャップの解消が含たれたす。耇数のチヌムは移行のストヌリヌを賌入し、数ヶ月かけお䜜成し、゚ンゞニアが採甚しおいない画像に察しおただ支払いを続けおいるず語っおいたす。Dockerでは、チヌムは既に運甚しおいるディストリビュヌションに留たり、導入コストは四半期ではなく時間単䜍で枬定されたす。

Attentiveの顧客の䞀人(プリンシパル゚ンゞニア、スティヌブン・コミッ゜)は、DHI導入を「サヌビス200 – ドラマれロ」ずいうフレヌズで衚珟しおいたす。

「展開は補品チヌムに察しお完党に透明でした。200以䞊のサヌビスで問題は䞀切なく、特にUbuntuからDebianぞのLinuxディストリビュヌション切り替えを同時に行っおいたこずを考えるず、これは非垞に印象的でした。重い䜜業はすべおPOCの間に起こった。」

私たちは、すでに䜿っおいるディストリビュヌションのために、すべおのシステムパッケヌゞを゜ヌスからビルドしおいたす

Hardened System Packagesのリリヌスにより、DockerはSLSAビルドレベル 3 パむプラむンで数䞇のAlpineおよびDebianシステムパッケヌゞを、暗号眲名付きの完党なプロりェナンスで゜ヌスからビルドしたす。これによりCVEの方皋匏は根本的に倉わりたす。

他のベンダヌも゜ヌスからシステムパッケヌゞを構築しおいるず䞻匵しおいたす。違いは、圌らが独自のLinuxディストリビュヌション向けに䜜られおおり、独立したコミュニティの審査を受けおおらず、顧客が本番環境で実行したこずがない点です。

DockerはAlpineやDebian向けのパッケヌゞを構築したす。これらのディストリビュヌションは、あなたのチヌムがすでに運甚し、テストし、信頌しおいるものです。AlpineずDebianは、独立したメンテナンス者、公開メヌリングリスト、䞊流プロゞェクトずの連携した開瀺、そしお商業的利益から独立しお運営されるボランティアのセキュリティチヌムを持぀広倧な゚コシステムです。゜ヌスからのパッチ適甚によるセキュリティ䞊のメリットを埗られたすが、慣れないOSを採甚する際の互換性コストがかかりたせん。

CVEがほがれロになるのではなく、すべおの画像を独立しお怜蚌可胜にしたした

Dockerのコンテナセキュリティぞのアプロヌチは、攻撃面の最小化、怜蚌可胜なSBOM、安党なビルドプロオナンス、悪甚可胜性のコンテキスト、暗号孊的怜蚌ずいう 5぀の柱に基づいおいたす。私たちはこれらの考えに基づいお補品開発の理念を凝瞮したした。なぜなら、あなたのセキュリティ䜓制がそれにかかっおいるず考えおいるからです。ハヌドむメヌゞ垂堎のすべおのベンダヌがこの哲孊を共有しおいるわけではありたせん。

この分野のほずんどのベンダヌは、クリヌンな CVE スキャン結果ずいう䞀぀の指暙に最適化しおいたす。

Dockerもほがれロの CVE にこだわりたすが、私たちはさらに進みたした。セキュリティチヌム、監査人、SOC、倉曎アドバむザリヌボヌドに察しお、画像に関するあらゆる質問に察しお機械可読で暗号眲名された蚌拠を提䟛する認蚌むンフラを構築したした。

DHIカタログのすべおの2000+画像に眲名入りの蚌明を17付けおいたす。これは独立した怜蚌性を提䟛するために必芁なこずです:

質問

DHIには 蚌明が含たれおいたした

この蚌蚀ずは䜕か

なぜそれがあなたにずっお重芁なのか

この画像には䜕が写っおいるのでしょうか?

サむクロンDXスボム、SPDXスボム

すべおのパッケヌゞ、バヌゞョン、掚移䟝存関係の機械可読むンベントリ。 

監査人がコンプラむアンスレビュヌで最初に求めるこず。䞡方のフォヌマットが含たれおいるので、異なるツヌルチェヌンごずに倉換する必芁がありたせん。

どのように建おられ、蚌明できたすか?

SLSAの出所察1、SLSA怜蚌芁玄、スカりトの出自、DHI画像゜ヌス

すべおの画像を正確な゜ヌス定矩に結び぀ける暗号孊的蚌明。 

サプラむチェヌンのセキュリティポリシヌで矩務付けられおいたす。むンシデント察応者がフォレンゞック時に䜿甚し、画像が正圓に䜜成されたか泚入されたかを確認するために䜿われたす。

どのような脆匱性があり、どのようなものが評䟡されおいるのでしょうか?

CVE察0。1,CVE察0。2,VEX、スカりトの䜓力スコア

CVEスキャン結果ず、画像自䜓に付随するCVEごずの脆匱性の正圓化。 

GRCチヌムがFedRAMPのPOA&Mを䜜成したり、セキュリティチヌムが新たなアドバむザリヌをトリアヌゞしたずき、蚌拠はすでにアヌティファクトに付着しおいたす。

コンプラむアンスは劥協しおいたすか?

FIPS準拠、STIGスキャン

FIPS゚ビデンスずOpenSCAP生成のSTIG結果

FedRAMP、PCI DSS、HIPAA 監査のための準備枈み成果物。通垞、手䜜業で䜜るには最も高䟡なアヌティファクトです。Dockerは自動的にそれらを生成したす。

CVE以倖のリスクはチェックされたしたか?

シヌクレットスキャン、りむルススキャン、テスト

リヌクされた認蚌情報も既知のマルりェアもなく、画像も正垞に動䜜しおいるこずを確認したした。 

これらは、SOCチヌムやセキュリティ審査委員䌚が本番環境展開を承認する前に求めるチェックです。Dockerはすべおのビルドでそれらを動かしおいたす。

䜕が倉わったのか?

倉曎ログ

バヌゞョン間で远加・削陀・パッチがかかった内容の眲名枈み蚘録。

倉曎アドバむザリヌボヌドは曎新を承認するためにこれが必芁です。それがなければ、チヌムは手動で画像を差し替えるこずになりたす。

認蚌は画像に関する質問に答え、次の質問はベンダヌに関するものです。

ベンダヌに䜕を尋ねるべきか、そしお同じ質問をしたずきに私たちが芋぀けたこず

急速に倉化する゚コシステムでは、CVEが時折芋萜ずされ、アドバむザリヌに隙間があり、倧芏暡に運営されおいるベンダヌが完璧な蚘録を持぀こずはありえたせん。重芁なのは、その空癜が孀立した事䟋を瀺すのか、それずもパタヌンを瀺すのかです。以䞋の質問は、Dockerを含むすべおのベンダヌに問い合わせる䟡倀がありたす。

ベンダヌのパッチ適甚ぞのコミットメントはどの皋床ですか?

ベンダヌに脆匱性の解決にどの皋床察応しおいるか聞いおみおください。DockerはDebian、Alpine、そしお耇数の䞻芁なOSS゜フトりェアプロゞェクトで継続的にCVEをパッチし、数䞇のシステムパッケヌゞず数千のむメヌゞを゜ヌスから再構築しおいたす。これは倚くのベンダヌが避ける倧きな゚ンゞニアリングおよび運甚䞊の投資であり、単䞀の独自OS向けにむメヌゞを構築する方が容易だからです。

Dockerのコミットメントはカタログ内の画像だけにずどたりたせん。䞊流に修正が存圚しない堎合、Dockerのセキュリティチヌムがそれを䜜成する䟋は倚くありたす。CVE-2025-12735の堎合、 9です。8Kibanaの䟝存チェヌンにおける重芁なRCE、圱響を受けたラむブラリはメンテナンスされおおらずパッチも適甚されおいたせんでした。Dockerは修正を䜜成し、顧客に提䟛し、LangChain.jsにも貢献したした。この修正は2025幎11月17日に公開されたnpmパッケヌゞずしおリリヌスされたした。

私たちが調べたあるベンダヌは、適栌なパッチが公開された埌、重芁なCVEに察しお 7日で察応するずいうCVEポリシヌを公開しおいたす。この堎合、圌らの修正はDockerが䜜成し、䞊流プロゞェクトから配信されたその限定パッチの数週間埌に珟れたした。

この䞊流ぞのコミットメントは、圓瀟のセキュリティチヌムの運甚方法に組み蟌たれおいたす。Dockerは2022幎からMITREのCVEナンバリングオヌ゜リティであり、脆匱性の特定、開瀺、修正胜力に察する継続的な投資の䞀環です。

SBOMの完党性に぀いおどんな保蚌がありたすか?

ベンダヌのSBOMにコンパむル枈みの䟝存関係(Rustクレヌト、Goモゞュヌル、JavaScriptパッケヌゞ)が含たれおいるのか、それずもシステムレベルのパッケヌゞのみが含たれおいるのかを尋ねおみおください。プロゞェクトの実際の䟝存関係ず照らしおSBOMの完党性を独立しお怜蚌できるかどうかを尋ねおください。DockerのSBOMには、すべおのコンパむルされた䟝存関係が含たれおいたす。他のベンダヌのむメヌゞも調べたしたが、䟋えばVector(数癟のRustクレヌト䟝存からコンパむルされた芳枬性パむプラむン)では、あるベンダヌのSBOMにはこれらの䟝存関係が含たれおいないようです。

䟝存関係がSBOMに含たれおいなければ、その䟝存関係の脆匱性は顧客のスキャナヌには芋えず、顧客のセキュリティチヌムによっお怜蚌もできたせん。DockerのセキュリティチヌムがVectorのRust䟝存関係に高重床CVEを特定した際、その日の倜にパッチが圓おられ、出荷されたした。

ベンダヌのアドバむザリヌフィヌドは、出荷するパッケヌゞの既知のCVEをすべお衚瀺しおいたすか?

ベンダヌの画像を第䞉者のスキャナヌで公開アドバむザリヌデヌタず照らし合わせおスキャンできるかどうかを尋ねおみおください。ベンダヌ自身のアドバむザリヌフィヌドに頌らず、それでも䞀貫した結果が埗られるかどうか。

DockerはGrype、Trivy、Wiz、たたはMendでの怜蚌を掚奚しおいたす。ベンダヌのノヌドむメヌゞを調べたずころ、出荷されたむメヌゞにはCVE-2025-9308 ずCVE-2025-8262 (いずれもyarn 122.22に圱響を䞎える)が存圚しおいたしたが、ベンダヌの脆匱性ペヌゞやセキュリティアドバむザリヌフィヌドには衚瀺されおいたせんでした。DockerのYarn 1のハヌド化されたシステムパッケヌゞ。22。22 ゜ヌスからビルドされ、䞡方のCVEにパッチが適甚されおいたす。

ベンダヌのアドバむザリヌフィヌドに隙間があれば、スキャナヌがその隙間を匕き継ぎ、セキュリティチヌムは䞍完党なデヌタに基づいお意思決定をしおいたす。

CVEが悪甚䞍可ず評䟡された堎合、ベンダヌは監査可胜な正圓な理由を提䟛したすか?

すべおの CVE にパッチが必芁ずいうわけではなく、どのベンダヌもその刀断を䞋したす。問題は、あなたのチヌムがその理由を理解できるかどうかです。Dockerのセキュリティチヌムは、各最小コンテナむメヌゞの文脈で䞍正利甚可胜性を評䟡し、すべおの評䟡を透明に公開しおいたす。

䞀郚のベンダヌは、実際のパッケヌゞが䞀臎しない倀にアドバむザリヌバヌゞョン範囲を蚭定し、これによりCVEがスキャナヌから芋えなくなり、正圓化や監査の痕跡を提䟛しないこずもありたす。

Dockerは、脆匱性を䌝えるためのCISA支揎暙準であるVEXを䜿甚しおおり、すべおの顧客が読んで監査できる、各CVEごずの機械可読な正圓化を提䟛したす。

私たちは他の人が残したサプラむチェヌンセキュリティの圹割を匕き受けたした

マルチディストリビュヌション察応、゜ヌスからのパッチ適甚、透明性を超えお、私たちは独自の安党でシンプルな䜓隓を組み合わせた䞀連の遞択をしたした。

ほずんどのベンダヌ保蚌はベヌスむメヌゞの端で終了したす。Dockerはカスタマむズされたむメヌゞの完党な所有暩を持ちたす。環境が必芁ずするものを远加し、CVEが䞊流でパッチを圓おるず、Dockerは自動的にカスタマむズされたむメヌゞを再構築し、SLAは䜜成するすべおの成果物に䌝播したす。カスタマむズがセキュリティ保蚌を無効にするわけではありたせん。たた、ハヌドンシステムパッケヌゞリポゞトリも公開し、専甚コンテナでハヌドンパッケヌゞを掻甚できるようにしたした。 

この厳密さを今埌は蚀語ラむブラリにも拡匵しおいく予定です。npm、pip、たたはMavenを通じおアプリケヌションが取り蟌む䟝存関係は、その䞋のOSレむダヌず同じ出所ずパッチ保蚌を持ちたす。

たた、䞊流でサポヌトを終了した゜フトりェアを運甚する組織に察しおは、Extended Lifecycle Supportはサヌビス終了埌も最倧5幎間セキュリティパッチを提䟛し続け、チヌムが自らのスケゞュヌルでアップグレヌドしながらセキュリティ䜓制を維持できるようにしたす。

運動に参加しよう

1幎前、DHIカタログを毎日 50000回匕き、䜕癟䞇ものビルドが定期的に動いおいるのが節目のように感じられたした。今日、これが基準です。

これらすべおは、Adobeを含む早い段階で私たちを信頌し、匷く掚しおくれたチヌムがいなければ実珟しなかったでしょう Crypto.com泚意深く、他にも倚くの人がいたす。n8n.io のようなプロゞェクト倧芏暡に運営するために䜕が必芁かを理解する助けになりたした。Socket.dev のようなパヌトナヌ、Snykず Mend.io はこの基盀の䞊にセキュリティワヌクフロヌを構築しおいたす。

私たちは匕き続き耳を傟け、繰り返し、あなたにずっおより良い難しいこずを続けおいたす。なぜならそれが倧切だからです。もしサプラむチェヌンのセキュリティに぀いお考えおいるなら、特にAI゚ヌゞェントがもたらすサプラむチェヌンのリスクの量ず匷床を考えるず、今こそDockerでベヌスラむンを䞊げる時です。

Docker Hardened Imagesカタログを探玢し、サプラむチェヌンを安党に保ちたしょう: https://www.docker.com/products/hardened-images/

すべおのチヌムず開発者にずっお、オヌプン゜ヌスのDHIコミュニティ局は即座にセキュリティ䜓制を向䞊させたす。䌁業向けには、お客様のニヌズに合った幅広い遞択肢をご甚意しおいたす。

さらに倚くのリ゜ヌス:

著者に぀いお

シニアプリンシパル゜フトりェア゚ンゞニア、Docker氏

関連蚘事