Docker開源DHI安全強化映像檔，主打透明揭露CVE與供應鏈可驗證

Docker宣布先前在5月推出的Docker安全強化映像檔（Docker Hardened Images，DHI）改為免費釋出，並以Apache 2.0授權開源。Docker指出，這是容器基礎映像檔的安全預設值調整，試圖讓開發團隊從第一次拉取映像檔，就能獲得較小的攻擊面與較完整的可驗證資訊。

Docker將DHI視為容器基礎映像檔的安全預設選項，同時強調透明度，包含每個映像檔都提供可驗證的軟體物料清單（SBOM）、SLSA第3級建置來源證明（Provenance），以及以公開CVE資料進行弱點揭露與評估。Docker也提到，不會為了讓弱點掃描器維持綠燈而刻意隱藏弱點，即使修補仍在進行，也會維持揭露。

DHI採用無發行版（Distroless）執行環境來縮小攻擊面，同時保留開發與執行常見工作負載所需的基本工具。Docker要求映像檔的組成、建置過程、簽章與弱點狀態都要能被外部檢查與驗證，並稱相較一般映像檔，DHI能明顯降低CVE數量，並可讓映像檔體積最高縮小95%。

DHI以Alpine與Debian基礎建立，並強調高相容性與低搬遷成本。官方也提到，Docker的實驗性AI助理可掃描既有容器並建議對應的強化映像檔，該功能目前標示為實驗性質。

Docker提供DHI三層服務符合不同合規與維運需求，免費開源版本提供無限制使用的基礎強化映像檔。DHI Enterprise則面向合規與高敏感產業，主打關鍵CVE在7天內修補的服務承諾，並提供FIPS等需求的映像檔版本與更多客製化能力。至於延長生命周期支援（ELS）則作為Enterprise的加購項目，即便在上游停止支援後，仍可再延伸最多5年的安全修補與可稽核資料更新，用於回應掃描、稽核與合規框架對可驗證修補的需求。

Docker把強化安全的範圍，從基礎映像檔推進到Kubernetes與代理式應用相關元件。既有的Hardened Helm Charts讓用戶在Kubernetes環境中採用DHI，這次則新增Hardened MCP Servers，先提供Mongo、Grafana與GitHub等常用MCP伺服器的強化版本，並納入後續將全面強化的MCP伺服器目錄規畫。