Docker torna imagens ‘blindadas’ grátis — e muda o jogo da segurança de containers

Containers já são a via expressa para produção. O Docker Hub soma dezenas de bilhões de pulls por mês e a maioria das empresas usa containers no ciclo de entrega. Quando isso acontece, segurança deixa de ser detalhe e vira infraestrutura crítica. Em 2025, ataques à cadeia de suprimentos triplicaram frente a 2021 e geraram perdas acima de US$ 60 bilhões. Hora de apertar os cintos.

Por que isso importa agora

A superfície de ataque não está só no app — começa na base image. Cada camada importa. Frameworks de IA agente, pipelines CI/CD hiperautomatizados e pressões regulatórias (CIS, STIG, FIPS, NIST SSDF, e o CRA europeu batendo à porta) empurram times para o mantra: secure-by-default. O Docker está colocando isso no prato principal, não no menu de sobremesas.

O que são as Docker Hardened Images (DHI)

Lançadas em 2025 e agora gratuitas e open source (Apache 2.0), as DHI são imagens mínimas, endurecidas e prontas para produção — já usadas e validadas por centenas de projetos e empresas. São compatíveis com Alpine e Debian, ou seja, seu time não precisa reaprender o alfabeto para adotar.

• Transparência radical: SBOM completo e verificável em toda imagem, proveniência SLSA Build Level 3, assinatura e evidências de autenticidade.
• Nada de maquiagem de CVE: vulnerabilidades não “somem” do feed para manter scanner verdinho. Você sabe exatamente onde está pisando.
• Menos é mais: runtime distroless reduz superfície de ataque, com imagens até 95% menores sem sacrificar as ferramentas essenciais.
• Resultados práticos: CVEs drasticamente reduzidos como padrão e, no tier Enterprise, meta de “quase zero” sob SLA.

Resumo: você puxa a imagem e já começa no lado certo da história. Menos firefighting de CVE, mais tempo para feature — e café quente.

Grátis para todos, com caminhos para necessidades críticas

O anúncio de hoje libera as DHI para todos os desenvolvedores, sem pegadinhas de licença. Quando a operação exige níveis mais altos, entram as opções comerciais:

• Docker Hardened Images (gratuito): base minimalista, endurecida, transparente, construída em Alpine/Debian.
• DHI Enterprise: imagens preparadas para FIPS e STIG, conformidade com CIS, e SLA para CVEs críticos em até 7 dias (com roadmap para um dia ou menos). Permite customizar suas imagens (certificados, pacotes, scripts, ferramentas) usando a infraestrutura de build do Docker, preservando proveniência e conformidade.
• DHI Extended Lifecycle Support (ELS): add-on pago que estende patches por até 5 anos além do fim de vida do upstream, mantendo SBOMs atualizados, assinaturas e trilhas de auditoria.

Vai além da imagem: Kubernetes, MCP e a pilha inteira

As DHI já ancoram Helm Charts endurecidos para Kubernetes, todos open source. O Docker também está expandindo para o layer de servidores MCP — a interface que sustenta muitos apps agentivos — com versões endurecidas de serviços populares como Mongo, Grafana e GitHub. O plano é levar o endurecimento para bibliotecas, pacotes de sistema e outros blocos de base da pilha. Ambição simples de dizer, difícil de executar: segurança do main() para baixo.

Migração sem drama (e com ajuda de IA)

Trocar a base do seu container não é mudar uma cor no CSS. Exige prudência. O Docker reconhece isso e tenta lixar as arestas:

• Compatível com o que você já usa: Alpine/Debian como base para reduzir atrito nas pipelines.
• Assistente de IA do Docker: recurso (ainda experimental) que analisa seus containers e sugere — ou aplica — equivalentes endurecidos.
• Boas práticas para um rollout civilizado:
• Criar inventário de imagens base e dependências.
• Testar em staging com scanners e políticas (CIS/STIG) ativadas.
• Habilitar verificação de assinaturas e enforcement de proveniência (SLSA) no CI.
• Padronizar SBOM como artefato de build e revisar periodicamente.
• Monitorar SLAs de patch e automatizar rebuilds após correções críticas.

Impacto no ecossistema

Quando a base segura vira padrão grátis, a barra sobe para todo mundo. O movimento ganha tração com um ecossistema crescente: players como Google, MongoDB e CNCF levam imagens endurecidas aos seus públicos; plataformas de segurança como Snyk e JFrog Xray integram DHI aos scanners; nomes de peso no stack de dados/CI/AI — Anaconda, Temporal, CircleCI, Socket, LocalStack — apontam para menos fricção e mais confiança na cadeia. Grandes empresas como Adobe e Qualcomm já ancoram compliance corporativa com Docker; startups relatam ciclos de venda mais curtos por cumprir requisitos desde o primeiro pull.

Contexto 2025+: com governança de IA exigindo trilhas de auditoria e frameworks como SSDF e CRA reforçando accountability, SBOM + proveniência + assinatura deixam de ser “nice-to-have” e viram checkboxes obrigatórios. Ter isso de fábrica evita retrabalho — e defesas de PowerPoint.

Perguntas rápidas

É realmente gratuito?

Sim. DHI é open source sob Apache 2.0, livre para usar, compartilhar e construir em cima.

Funciona com Alpine e Debian?

Sim. São as fundações primárias para acelerar adoção sem reescrever pipelines.

O que vem no pacote de segurança?

SBOM completo, proveniência SLSA L3, assinatura, transparência de CVEs (sem ocultação) e padrões seguros por default.

Preciso de SLA e certificações?

O DHI Enterprise cobre FIPS/STIG/CIS, com SLA de até 7 dias para CVEs críticos e personalização total das imagens.

Meu sistema é “long-lived” e o upstream vai morrer. E agora?

DHI ELS estende cobertura de segurança por até cinco anos além do EOL, mantendo conformidade e auditabilidade.

Como começar agora

• Participe do webinar de lançamento para ver na prática.
• Use as imagens endurecidas gratuitamente no catálogo do Docker.
• Abra a documentação e integre DHI ao seu fluxo de build e runtime.
• Entre no programa de parceiros para ajudar a elevar o padrão de segurança do ecossistema.

Segurança é esporte de time. Com as DHI livres e abertas, ficou mais fácil jogar no ataque sem tomar cartão vermelho da auditoria.

Fonte original: Docker Blog