Les Docker Hardened Images (DHI), jusqu’ici accessibles en payant, sont désormais disponibles gratuitement : une excellente nouvelle pour les développeurs. Il s’agit d’images durcies, c’est-à-dire plus sécurisées, où la surface d’attaque est réduite en comparaison des images classiques. Faisons le point sur cette initiative qui vise à établir un nouveau standard de sécurité par défaut.

Avec plus de 20 milliards de téléchargements mensuels sur le Docker Hub, la place occupée par Docker est immense. Dans le même temps, les attaques sur la supply chain logicielle ont fait beaucoup de dégâts en 2025 : Docker évoque plus de 60 milliards de dollars de dommages, un chiffre qui a triplé par rapport à 2021. C’est dans ce contexte que la décision prise par l’équipe de Docker pourrait changer la donne.

Docker Hardened Images, c’est quoi ?

Lancées initialement en mai 2025, les Docker Hardened Images (DHI) sont des images de conteneurs minimalistes où tout le superflu est éliminé. Elles sont prêtes pour la production et conçues pour réduire au maximum la surface d’attaque. 1 000 images Docker de ce type sont déjà existantes.

“Aujourd’hui, nous établissons une nouvelle norme industrielle en rendant DHI librement accessible et open source à tous ceux qui développent des logiciels. Soit plus de 26 millions de développeurs dans l’écosystème des conteneurs. DHI est entièrement ouvert et libre d’utilisation, de partage et de développement, sans surprise en matière de licence, et bénéficie d’une licence Apache 2.0.“, précise l’article de blog officiel.

Désormais, Docker considère que chaque développeur et chaque application devraient utiliser une image durcie DHI. Ces images sont basées sur Alpine et Debian, comme beaucoup d’images Docker d’une manière générale.

Voici quelques éléments différenciateurs au sujet des DHI :

• Des images jusqu’à 95 % plus légères, ce qui est une belle optimisation,
• Une réduction des CVE (vulnérabilités logicielles),
• Une transparence totale : Docker ne masque pas les vulnérabilités en attente de correction.

Pour apporter des précisions sur ce dernier point, il faut savoir que chaque image est accompagnée d’un SBOM (Software Bill of Materials) complet et vérifiable. Il référence tous les logiciels utilisés, ainsi que leur provenance et leur intégrité.

“Chaque build fournit une provenance SLSA Build Level 3. Chaque vulnérabilité est évaluée à l’aide de données CVE publiques transparentes ; nous ne cachons pas les vulnérabilités lorsque nous ne les avons pas corrigées. Chaque image est accompagnée d’une preuve d’authenticité.“, peut-on lire. Prometteur !

Au-delà de ces images sécurisées pour Docker, cela est étendu aussi aux Hardened Helm Charts pour Kubernetes et aux Hardened MCP Servers pour les usages liés aux agents IA.

Un modèle hybride : gratuité vs Entreprise

Les Docker Hardened Images deviennent gratuites pour tout le monde. Dans ce cas, comment Docker compte-t-il rentabiliser ce service ? Désormais, Docker propose une approche à trois niveaux pour répondre à différents niveaux d’exigences en matière de sécurité :

1. Docker Hardened Images (gratuit) : l’offre de base accessible à tous. Elle inclut les images durcies. C’est le nouveau standard par défaut.
2. Docker Hardened Images Enterprise : une offre payante, destinée aux organisations ayant des contraintes strictes. Cette offre garantit un SLA de correction de moins de 7 jours pour les CVE critiques. Elle ajoute aussi d’autres avantages comme la conformité FIPS, les benchmarks CIS et la possibilité de customiser les images via l’infrastructure de build sécurisée de Docker.
3. Docker Hardened Images Extended Lifecycle Support (ELS) : un module complémentaire payant pour gérer l’obsolescence. Concrètement, si vous payez pour ce module, vous pouvez avoir jusqu’à 5 ans de couverture de sécurité supplémentaire après la fin de vie officielle (EOL) d’une version.

Désormais, les développeurs vont se poser la question suivante : comment passer d’une image Docker classique à une image durcie ? Pour faciliter la transition, Docker mise également sur l’intelligence artificielle, et plus particulièrement sur son assistant Docker AI. En effet, il est capable de scanner vos conteneurs existants pour recommander les images durcies équivalentes.

“Cette fonctionnalité est encore au stade expérimental, car nous n’en sommes qu’au premier jour, mais nous la rendrons rapidement disponible dès que nous aurons tiré les enseignements des migrations réelles.”, précise l’article de blog.

Qu’en pensez-vous ?

Source