Docker要以安全映像檔防護企業生產環境容器

Docker公布新安全映像檔（Docker Hardened Images，DHI）類型，以預設安全為核心設計，進一步提升企業生產環境的容器安全性。該功能主打精簡映像檔內容、減少攻擊面，並強化自動化漏洞修補能力，目標是提供雲端原生應用可靠的執行基礎。

根據Docker官方說明，DHI並非僅僅對現有映像檔進行瘦身或簡化，而是採取自下而上的安全設計。映像檔僅保留執行應用所需的最小相依元件，移除如Shell、套件管理工具及除錯工具等非必要元件，使映像檔的攻擊面較傳統基底映像檔減少達95％。透過精簡內容，不僅降低駭客入侵風險，同時也提升啟動效率，讓維護作業更為單純。

在支援度方面，DHI相容於開發人員常用的Alpine、Debian等發行版，開發團隊僅需於現有Dockerfile中調整基底映像檔名稱，即可升級至安全強化版本，無需大幅調整開發流程或更換既有工具。Docker同時強調，新映像檔仍保有彈性，開發者可依需求安裝必要套件、憑證或自訂設定，在確保安全的前提下兼顧開發彈性。

DHI強調與多家安全與DevOps平臺合作，包括微軟、NGINX、Sonatype、GitLab、Wiz、Sysdig等，確保映像檔能與現有的漏洞掃描工具、註冊庫及CI/CD流程順利整合，方便團隊導入並落實端到端的供應鏈安全控管。Docker也透過SLSA Build Level 3建置流程，確保映像檔來源可追蹤，並附有完整驗證機制。

針對企業關注的漏洞修補，DHI採自動化持續修補機制。Docker團隊主動監控所有上游相依元件及作業系統套件的CVE資訊，當有重要安全更新時，映像檔會自動重建並通過測試後發布。根據官方承諾，針對重大與高風險CVE，最快可在七天內完成修補並推送新版本，協助企業即時因應外部威脅，降低安全團隊負擔。

Docker表示已在公司內部多個專案導入DHI。以Node.js應用為例，僅透過調整映像檔，即可將已知漏洞數降為零，套件數亦大幅減少98％，有效簡化維運流程並降低潛在風險。