Estabelecendo um marco para a segurança de software, a Docker anunciou a liberação completa e gratuita do seu catálogo de Docker Hardened Images (DHI) para a comunidade global de desenvolvedores. Anteriormente restrito a clientes corporativos, o acesso a mais de 1.000 imagens de contêiner pré-configuradas com rigorosos padrões de segurança agora é universal, sob a permissiva Licença Apache 2.0. A ideia é “redefinir fundamentalmente o mercado de segurança de contêineres”, estabelecendo uma nova linha de base segura por padrão para o desenvolvimento de software moderno.
A decisão responde a um cenário de ameaças cada vez mais preocupante. Ataques à cadeia de suprimentos de software, que exploram vulnerabilidades em bibliotecas e dependências, já são um problema que custou US$ 60 bilhões às empresas globalmente apenas em 2025. Nesse contexto, a base de um contêiner, sua imagem base, torna-se o primeiro e mais crítico ponto de defesa. As DHI são projetadas como essa fundação segura, oferecendo uma redução de até 95% na superfície de ataque em comparação com imagens padrão da comunidade.
O que torna uma imagem “endurecida”?
A robustez das DHI é construída sobre quatro pilares técnicos principais, fornecendo transparência e segurança verificável:
- Superfície de ataque mínima: As imagens são “distroless” (sem distribuição completa), removendo ferramentas desnecessárias como shells e gerenciadores de pacotes, e executam processos como um usuário não-root por padrão. Isso limita drasticamente os vetores de exploração disponíveis para um possível invasor;
- Transparência total: Cada imagem inclui um Software Bill of Materials (SBOM) completo e assinado. Trata-se de um inventário de todos os componentes de software presentes, permitindo auditoria e rastreabilidade;
- Procedência verificável (SLSA Nível 3): A cadeia de construção das imagens atende ao mais alto nível do padrão SLSA (Supply-chain Levels for Software Artifacts), fornecendo um registro criptográfico à prova de adulteração de como, quando e onde a imagem foi construída;
- Dados CVE não suprimidos: a Docker promete manter visibilidade total sobre os CVEs (Common Vulnerabilities and Exposures) presentes, mesmo enquanto trabalha em correções.
Gratuito para a comunidade, comercial para empresas
A estratégia da Docker para tornar essa segurança acessível a todos é sustentada por um modelo de negócios inteligente e escalonável. A oferta agora se divide em três camadas:
- DHI (gratuita e open source): É a base. Qualquer desenvolvedor, startup ou projeto de código aberto tem acesso total ao catálogo de imagens endurecidas, com SBOM e procedência SLSA Nível 3, sem custo algum e sem restrições de licenciamento;
- DHI Enterprise: Voltada para organizações com requisitos rigorosos de segurança e conformidade. Inclui um SLA contratual de 7 dias (com meta de redução para 1 dia) para a correção de CVEs críticos, imagens compatíveis com padrões governamentais como FIPS e STIG, e a capacidade de personalizar imagens de forma segura na infraestrutura de build da Docker;
- Suporte de ciclo de vida estendido (ELS): Um complemento pago que resolve um dos maiores desafios da TI empresarial: a manutenção de sistemas legados. Ele oferece até cinco anos adicionais de patches de segurança para imagens cujo suporte oficial “upstream” já terminou.
Este modelo garante a sustentabilidade da iniciativa. Empresas como Adobe e Attentive, que precisam das garantias extras, contribuem com o financiamento da operação, permitindo que o benefício seja democratizado para os mais de 26 milhões de desenvolvedores do ecossistema. Como explicou um representante da Docker, recursos como SLAs contratuais “carregam custos operacionais muito reais”, e mantê-los na camada empresarial é o que viabiliza ofertar todo o catálogo de graça para a comunidade.
Impacto e reação da comunidade
A iniciativa já recebeu validação independente de peso. A SRLabs, um renomado grupo de pesquisa em segurança cibernética, conduziu uma avaliação detalhada das DHI. Seu relatório concluiu que as imagens “cumprem suas promessas de segurança públicas” para o cenário de ameaças atual, sem a identificação de vulnerabilidades críticas ou de alta severidade, destacando a força do modelo de verificação e a velocidade do processo de correção.
Líderes do setor também expressaram forte apoio. Jonathan Bryce, Diretor Executivo da Cloud Native Computing Foundation (CNCF), afirmou que a medida “reforça o forte compromisso [da Docker] com o ecossistema de código aberto”. Já James Governor, da RedMonk, destacou que tornar as imagens endurecidas gratuitas e difundidas deve “subsidiar uma entrega de software mais rápida e segura”.
Apesar do entusiasmo, parte da comunidade recebeu a notícia com um otimismo cauteloso, lembrando de momentos em que a Docker reduziu ofertas gratuitas no passado. Há também considerações práticas: a migração para imagens mínimas pode exigir ajustes nos fluxos de trabalho (como usar ferramentas específicas para debug, já que não há shell por padrão), e o uso em ambientes empresariais ainda pode envolver a necessidade de uma conta Docker e, para algumas ferramentas complementares, do Docker Desktop, que requer uma assinatura em contextos comerciais.Ajude o Diolinux a permanecer crescente e independente: seja membro Diolinux Play e tenha acesso a conteúdos exclusivos!