Docker para un ecosistema de contenedores más seguro: Docker presenta gratis Docker Hardened Images

 (docker.com)
6 puntos por GN⁺ 2025-12-19 | 1 comentarios | Compartir por WhatsApp
  • Docker Hardened Images (DHI) son imágenes de contenedores de producción, mínimas y reforzadas en seguridad, publicadas bajo licencia Apache 2.0 para que todos los desarrolladores puedan usarlas gratis
  • DHI está construido sobre Alpine y Debian, por lo que puede integrarse fácilmente en flujos de trabajo existentes, y ofrece una base de seguridad confiable mediante SBOM, SLSA Build Level 3 y divulgación transparente de CVE
  • La versión empresarial, DHI Enterprise, incluye un SLA de parches CVE en menos de 7 días, imágenes para industrias reguladas (FIPS, STIG) e infraestructura de compilación personalizada; Extended Lifecycle Support (ELS) ofrece soporte de seguridad adicional de hasta 5 años
  • Grandes empresas como Adobe, Qualcomm, Google, MongoDB y Anaconda ya adoptaron DHI o participan como socios para reforzar la seguridad de la cadena de suministro de software
  • Con esta medida, Docker busca establecer un estándar de la industria para que todos los desarrolladores y organizaciones comiencen por defecto desde un entorno de contenedores seguro

Resumen de Docker Hardened Images

  • Docker Hardened Images (DHI) es un conjunto de imágenes centradas en seguridad que, desde su lanzamiento en mayo de 2025, ha reforzado más de 1,000 imágenes y charts de Helm
    • Desde diciembre de 2025 estará disponible gratis y como open source para todos los desarrolladores
    • Se distribuye bajo licencia Apache 2.0, sin restricciones para usar, compartir o modificar
  • Docker Hub registra más de 20 mil millones de pulls de imágenes al mes, y más de 26 millones de desarrolladores en todo el mundo participan en el ecosistema de contenedores
  • Los ataques a la cadena de suministro causaron más de 60 mil millones de dólares en daños en 2025, triplicando la cifra de 2021, lo que subraya la necesidad de reforzar la seguridad

Principales características de DHI

  • Arquitectura de imágenes seguras centrada en la transparencia y la minimización
    • Usa un runtime distroless para reducir al mínimo la superficie de ataque, manteniendo al mismo tiempo las herramientas esenciales de desarrollo
    • Todas las imágenes incluyen un SBOM completo e información de procedencia SLSA Build Level 3
    • Mantiene la transparencia sin ocultar vulnerabilidades mediante evaluaciones basadas en datos públicos de CVE
    • Todas las imágenes incluyen firmas de verificación de autenticidad
  • Al estar basado en Alpine y Debian, los equipos de desarrollo pueden adoptarlo con cambios mínimos
    • El AI Assistant de Docker analiza contenedores existentes y recomienda la imagen reforzada correspondiente o ayuda a aplicarla automáticamente (actualmente en fase experimental)
  • Mantiene la seguridad por defecto y al mismo tiempo reduce el tamaño de las imágenes hasta en 95%
    • En DHI Enterprise se garantiza un nivel de casi cero CVE

DHI Enterprise y ELS

  • DHI Enterprise
    • Ofrece imágenes compatibles con FIPS y STIG para industrias reguladas y entidades gubernamentales
    • Proporciona cumplimiento con los benchmarks de CIS y un SLA de corrección de CVE críticos en menos de 7 días
    • Permite control total sobre la personalización de imágenes, configuración de runtime y agregado de certificados o paquetes
    • Mediante la infraestructura de compilación de Docker, automatiza la gestión de procedencia de compilación y cumplimiento normativo
  • DHI Extended Lifecycle Support (ELS)
    • Es una opción paga de extensión para DHI Enterprise que ofrece parches de seguridad adicionales por hasta 5 años
    • Incluso después del fin del soporte upstream, mantiene parches continuos de CVE, actualizaciones de SBOM, firmas y capacidad de auditoría

Expansión del ecosistema y alianzas

  • DHI impulsa la integración de una cadena de suministro segura en colaboración con Google, MongoDB, CNCF, Snyk y JFrog Xray, entre otros
    • Snyk y JFrog Xray integraron DHI directamente en sus escáneres
    • CNCF considera que DHI contribuye a fortalecer el ecosistema open source
  • Empresas como Adobe, Qualcomm, Attentive y Octopus Deploy han mejorado su cumplimiento normativo y nivel de seguridad con DHI
  • Grandes compañías tecnológicas como MongoDB, Anaconda, Socket, Temporal, CircleCI y LocalStack respaldan la apertura y seguridad de DHI

Docker Hardened Helm Charts y MCP Servers

  • Con los Hardened Helm Charts, también es posible usar imágenes DHI en entornos Kubernetes
  • Los Hardened MCP Servers ofrecen versiones reforzadas en seguridad de servidores MCP clave como Mongo, Grafana y GitHub
    • En el futuro, se planea expandirlos a bibliotecas de seguridad y paquetes del sistema
    • El objetivo es asegurar la aplicación desde la función main() hasta todo el stack

Filosofía y visión de Docker

  • Como la imagen base determina la seguridad de la aplicación, el punto clave es garantizar transparencia total y confianza verificable
  • DHI ofrece un entorno de desarrollo donde la seguridad es el valor predeterminado, permitiendo que todos los desarrolladores y organizaciones partan del mismo nivel de seguridad
  • Esta publicación gratuita continúa el espíritu de hace más de una década, cuando Docker Official Images se ofreció sin costo
    • Con documentación clara, mantenimiento consistente y alianzas abiertas, busca elevar el nivel de seguridad en toda la industria

Cómo empezar

Conclusión

  • Con DHI, Docker ofrece a todos los desarrolladores un entorno de contenedores donde la seguridad es el valor predeterminado
  • Esta medida acelera la estandarización industrial de la seguridad de la cadena de suministro de software y apunta a construir un ecosistema de seguridad sostenible basado en la colaboración open source

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-12-19
Comentarios en Hacker News

  • Las Hardened Images (DHI) de Docker ahora están disponibles gratis para todos
    Parece que en industrias reguladas, como banca, seguros y organismos gubernamentales, este tipo de imágenes reforzadas en seguridad va a generar bastante interés

    • Después de la vez que convirtieron el registro gratuito en un servicio de pago, cuesta confiar en la política de gratuidad de Docker
      El patrón de bait and switch se ha vuelto demasiado común en toda la industria
    • Viéndolo como CEO de VulnFree, este anuncio parece simplemente una estrategia de marketing
      Chainguard está creciendo mucho más rápido que Docker, y Docker parece estar tratando de alcanzarlo
    • Intenté hacer pull de la imagen y obtuve un error 401. ¿Hace falta iniciar sesión? Es una forma rara de ofrecer algo “gratis”
    • Tiene un login gate, así que ya ni dan ganas de intentarlo. Es fricción innecesaria
    • El propio anuncio da la impresión de haber sido generado por un LLM

  • Parece una respuesta de Docker ante la discontinuación de los charts de Helm de Bitnami/VMWare/Broadcom

    • Probablemente también sea una reacción al rápido crecimiento de Chainguard. Los VC están invirtiendo cientos de millones de dólares en imágenes seguras, no en IA
    • Yo también lo veo así

  • A primera vista, esto no es simplemente una solución intercambiable
    Exige login y el PAT (personal access token) está vinculado a una cuenta personal
    Desde la perspectiva de una startup, no hay motivo para preguntar por un plan enterprise
    Si solo puede usarse para desarrollo local y no en entornos de CICD, su utilidad es limitada

    • Docker for Teams cuesta alrededor de 15 dólares al mes, y las enterprise hardened images son un producto aparte para mirroring offline o cumplimiento regulatorio
      El valor principal de las imágenes hardened contra CVE es la confiabilidad a escala. A nivel de equipo no es realista escanear y parchear todo manualmente

  • El mercado de imágenes hardened parece estar saturado
    Incluso en Kubecon había al menos tres empresas ofreciendo el mismo servicio
    Chainguard fue quien abrió primero el mercado, y sus imágenes con 0 CVE ayudaron mucho a que startups pasaran revisiones de seguridad
    Pero ahora están apareciendo más competidores como Minimus e Ironbank. Eso es positivo para el ecosistema, aunque quizás el mercado no sea tan grande

    • El verdadero problema no es la saturación del mercado, sino que si Docker lo ofrece gratis, el mercado mismo podría desaparecer
    • Chainguard se está expandiendo a imágenes de VM y repositorios por lenguaje, pero fuera de las industrias reguladas no está claro cuánta demanda de pago realmente existe
      Si Docker lo ofrece gratis, baja la barrera de entrada y resulta más fácil probarlo
    • Las imágenes de Ironbank también pueden ser usadas por organizaciones fuera del DoD. Solo hay que registrar una cuenta
    • Hablando como CEO de VulnFree, no sé si Chainguard fue realmente el primero, pero sigue existiendo demanda insatisfecha
    • En realidad, Ironbank hizo esto antes que Chainguard. Pero la calidad era baja y tenía el problema de romper contenedores con frecuencia
      Había segfaults por diferencias en versiones de glibc y el proceso de hardening era poco más que copiar binarios
      En gobiernos o industrias reguladas la demanda sigue siendo grande, pero como negocio independiente su sostenibilidad es baja
      Chainguard parece sostenerse en parte por la reputación de sus fundadores y, al final, se parece al modelo de negocio de las distribuciones Linux
      Para una empresa que ya opera una distribución Linux, este servicio sería una extensión natural

  • Como empleado de Docker, queremos que secure-by-default sea el punto de partida para todos los desarrolladores
    Incluimos documentos VEX, attestations y metadatos en todas las imágenes para aumentar la transparencia
    El plan es expandirlo más allá de las imágenes base, a toda la pila, incluidos servidores MCP
    En el tier enterprise ofrecemos de pago cosas como SLA de parches continuos, variantes FIPS y customización de seguridad
    Eso nos permite mantener un catálogo gratuito para la comunidad

    • El formato de Dockerfile en la especificación de la imagen PHP que pusieron como ejemplo se siente poco familiar
      Me pregunto si existe alguna herramienta aparte para construirlo

  • La política de gratuidad de Docker genera la sensación de que puede volverse de pago en cualquier momento
    Ya pasó antes con Docker Desktop y Registry

  • Es interesante que el momento en que Bitnami dejó de ofrecer imágenes hardened gratuitas coincida con este anuncio de Docker
    Preocupa que se repita otro escenario de “gratis al principio y luego de pago”
    Docker siempre parece seguir la típica estrategia de crecimiento de VC

    1. ganar ecosistema con algo gratis
    2. bloquear a los usuarios y luego cobrar
    3. monetizar
    • Nuestro equipo ya migró la infraestructura desde las imágenes de Bitnami. Ya no confiamos en Docker

  • Los scripts de build que Docker tiene que mantener son bastante complejos
    Ejemplo: YAML de build de Traefik
    En cambio, Nix ya empaquetó la mayor parte del software y permite containerizarlo sin trabajo adicional
    Ya existen builds reproducibles e infraestructura de caché a gran escala
    Para que Docker llegue a ese nivel tendría que construirlo todo por su cuenta, sin una comunidad detrás

  • Decían que era open source, pero no se ve el código fuente de la imagen hardened de Traefik
    El YAML del catálogo es solo un archivo de configuración, no el archivo de build
    Parece que hace falta una herramienta llamada dhi, pero no hay documentación
    Si no puede construirse directamente en un entorno offline, cuesta verlo como verdadero open source

  • Viéndolo como CEO de VulnFree, el anuncio de Docker es marketing para frenar el momentum de Chainguard
    En este sector hay poca innovación y casi todo es una variación del modelo de Chainguard
    Después de la ronda de inversión de Chainguard, los VC se lanzaron sobre el mercado de las “imágenes seguras”, Bitnami intentó cobrar y Docker llenó ese hueco ofreciéndolo gratis
    Pero la razón por la que no publican el código fuente es obvia: si lo hicieran, desaparecería la barrera de entrada
    Con los precios actuales, sale más barato construirlo por cuenta propia
    En VulnFree, el valor real está en imágenes hardened personalizadas que se adapten al workflow de cada equipo de desarrollo