安全にBuildするための、新しい業界標準
マルチディストリビューション互換性
ほぼゼロのCVE
透明性の高いSBOM
信頼できるProvenance
DHIが選ばれる理由
既存環境にそのまま導入可能
ベースイメージを置き換えるだけで、すぐにセキュリティを強化
Apache 2.0 (Open Distros)
自由に移行でき、想定外の制約はありません。より強力なSLAやコンプライアンス対応、ビルドサービスが必要な場合のみ、料金が発生します。
セキュアなサプライチェーンへの最短ルート
最小限の変更で置き換え可能なドロップインイメージ。イベント駆動型のビルドシステムにより、イメージは常に最新の状態に保たれます。さらに、Provenanceを維持したまま、安全にカスタマイズすることが可能です。
Docker-Maintainedで構築
パッケージ
すべてのDHIイメージは、Dockerが直接アップストリームソースからビルド、パッチ、保守を行うシステムパッケージで構築されています。
完全な透明性
署名付きSBOMと SLSAレベル 3 のProvenance、完全なCVEデータを提供
開発者向けに作られ、セキュリティのために強化されています
アップストリームの提供が終了しても、保護は継続されます。最長 5 年間、ハードニングされたパッチ提供に加え、SBOMとProvenanceを提供します。
アップストリームのサポート終了後も継続するセキュリティ
上流のEOL後もCVEパッチ適用は継続されます
SBOMと出所は全て維持されています
最も頼りにしている画像をカバーしています:Node、Python、PostgreSQLなど
数秒で利用開始
「ベースイメージの中身を不安に思う必要がなくなったのは初めてです。精神的な負担が減り、Attentiveならではのセキュリティ課題に集中できるようになりました。」
ジェイコブ・リッカード
Attentiveの主任セキュリティエンジニア
包括的なセキュリティモデル
そして、大規模に運用する組織にとって、セキュアで持続可能な前進の道筋。
すべての開発者に無料でご提供
含まれる内容
強化された、最小構成のイメージ
ほぼゼロのCVE
検証可能なSBOMと、SLSAレベル3のProvenance
すべての CVE を可視化
ワークフロー変更なしで導入可能
Apache 2.0の下で提供されるオープンソース画像の完全なカタログ
Docker Hardened System Packagesを使用したBuild
Dockerが提供するパッチの更新サイクル
$5,000/リポジトリでご提供
Communityのすべてに加えて
FIPS/STIG 準拠イメージ
重要なCVE修正 7 日以内
SLA支援による連続パッチング
最大5カスタマイズ
料金はお問い合わせください
Selectのすべてに加えて
システムパッケージを含む無制限のカスタマイズが可能
Hardened System Packagesリポジトリへのアクセス
すべてのレポジトリにアクセス
ELSアドオンが利用可能
Extended Lifecycle Support
アドオンサポートが終了したソフトウェアに対しても、セキュリティとコンプライアンスを確保(DHI Enterprise が必要)
最長5 年間のハードニングアップデート
アップストリームのサポート終了後もセキュリティアップデートを維持
SBOM とProvenance
長期間運用されるワークロードを保護
エコシステムに信頼されています
「セキュリティはプレミアム機能であるべきではありません。セキュリティ強化(ハードニング)済みのイメージを無償で提供することで、Dockerは大企業だけでなく、すべての開発者がより安全な基盤からスタートできるようにしています。ノイズや運用負荷を減らしてくれるツールは大歓迎ですし、初日からGoogle Cloud上でこれらの安全なワークロードを実行できることを楽しみにしています。」
ライアン・J・サルバ
プロダクト・デベロッパーエクスペリエンス担当シニアディレクター
「MongoDBでは、オープンソースが現代のソフトウェア開発の中心的な役割を果たし、柔軟性、選択肢、そして開発者の生産性を実現すると考えています。そのため、MongoDB向けの無償の Docker Hardened Images を非常に歓迎しています。これらのイメージは、Alpine や Debian といった実績ある Linux 基盤の上に構築された、信頼できるすぐに利用可能なビルディングブロックを提供します。さらに Apache 2. 0 、ライセンスのもと、完全にオープンソースで、誰でも無償で利用できます。Docker Hub のグローバルなリーチと、MongoDB が重視する信頼性と安全性を組み合わせることで、将来に向けたセキュアでオープンな基盤の上で、安心して開発できる環境をより簡単に実現しています。」
ジム・シャーフ
MongoDBの最高技術責任者(CTO)
「Docker がセキュリティ強化(ハードニング)済みイメージを Apache 2.0 のもとで無償提供することは、オープンソースエコシステムへの強いコミットメントを示しています。すでに多くの CNCF プロジェクトが DHI カタログに含まれており、より広いコミュニティが、安全で適切にメンテナンスされたビルディングブロックにアクセスできるようになることで、ソフトウェアサプライチェーンを共に強化することができます。Docker がオープンなコラボレーションとセキュアなコンテナ基盤への投資を続けていることを、とても心強く感じています。」
ジョナサン・ブライス
クラウドネイティブコンピューティング財団 エグゼクティブディレクター
DHI と他の選択肢の比較
|
Docker Hardened Images |
その他 |
|
|---|---|---|
|
ディストリビューション |
Alpine/Debian |
独自(プロプライエタリ) |
|
ライセンス |
Apache 2.0 |
混在 |
|
アクセス |
全カタログを無償で利用可能 |
トライアルあり/一部有料 |
|
利用開始 |
置き換えるだけで移行 |
ワークフローの変更が必要 |
|
セキュリティ |
最小構成、CVEほぼゼロ、SLSA ビルドレベル3 |
矛盾しています |
|
透明性 |
SBOM とProvenance |
限定的な可視性(一部CVEは非表示、独自スコアリング) |
|
ライフサイクル |
ELS(Extended Lifecycle Support)により最長 5 年間サポート |
通常は最長 6 ヶ月 |
DockerのHardened Imagesは現在、すべての開発者に提供されています
コンテナが今日Dockerで信頼モデルをどのように形作ったのか、そしてAI駆動システムがソフトウェアサプライチェーンセキュリティの次の章に何を意味するのかをお聞きください。
今すぐオンデマンドで視聴
すべての開発者に、セキュリティ強化(ハードニング)済みイメージを
Docker Hardened Imagesは現在、Apache 2. 0ライセンスのもと、無償でオープンソースとして提供されています。
読む
コンテナは、新たなサプライチェーン攻撃の起点です
Dockerエンジニアが、サプライチェーンセキュリティの5つの柱と、なぜ最小構成の非rootイメージがより安全なデフォルトなのかを解説します。
見て
DHI Enterprise の動作をご覧ください
デモをリクエストする
ご関心をお寄せいただき、誠にありがとうございます。Dockerチームからご連絡いたします
よくある質問
Dockerのハード化イメージとは何ですか?
Docker Hardened Imagesは、ほぼゼロのCVE、デフォルトで安全、最小限のコンテナイメージで、現代のソフトウェアサプライチェーンの信頼できる検証可能な上流として機能するよう設計されています。各イメージはソースから継続的に再構築され、既知のCVEは手動スケジュールではなく修正が可能になったらパッチを当てながら攻撃対象を減らします。
カタログには、ランタイム、フレームワーク、データベース、インフラストラクチャコンポーネントにまたがる数千点の本番対応画像が含まれており、オープンソースの無料および商用ティアも利用可能です。
Docker Hardened Imagesは無料ですか?
はい。完全なDockerハードンドイメージズカタログは、Apache 2の下で無料でオープンソースです。0 免許証。どの開発者でもDocker Hubからハード化されたイメージを無料で取得・使用でき、使用制限や有料カタログアクセスはありません。イメージはオープンソースで、標準的なAlpineやDebianの基盤の上に構築されているため、チームはベンダーに縛られることなく完全な移植性を保ちます。
商用ティア(DHI SelectおよびDHI Enterprise)は、SLAに基づく対応対応、コンプライアンス対応のイメージバリアント、画像カスタマイズなどの保証を必要とする組織向けに利用可能です。
DHIコミュニティ、DHIセレクト、DHIエンタープライズ、DHI ELSの違いは何ですか?
Docker Hardened Imagesは3つの階層で利用可能で、それぞれが前の階層の上に構築されています。
- DHIコミュニティは Apache 2の下で無料でオープンです。0 免許証。ほぼゼロの強化画像カタログ、完全なSBOM、SLSAビルドレベル 3 出所、OpenVEXの脆弱性データ、暗号署名が含まれています。
- DHI Select は、SLA支援のCVE修復( 7 日以内の重要な修正)、FIPS検証済みおよびSTIG整合型のコンプライアンス要件による画像バリアント、限定的な画像カスタマイズを追加します。
- DHI Enterprise はSelectを拡張し、無制限のカスタマイズ機能、同じ出所とパッチ適用のカスタムイメージ構築のためのDocker Hardened System Packagesリポジトリへのアクセス、拡張ライフサイクルサポートの資格を備えています。
- DHI ELS (Extended Lifecycle Support)アドオンは、アップストリームのエンドサービス終了後もさらに5年間のセキュリティカバーを提供し、継続的なCVEパッチ、SBOMの更新、出所証明を提供します。
Docker Hardened Imagesはどのディストリビューションをサポートしていますか?
Docker Hardened ImagesはAlpineとDebianの両方をサポートしているため、チームはパッケージエコシステムを切り替えたり、慣れないツールで再学習したりすることなく、既存の環境に合ったディストリビューションを選択できます。
これは非常に重要です。なぜなら、Linuxディストリビューションの選択がライブラリの互換性、シェルスクリプト、デバッグツール、パッケージ管理など、すべての下の要素に影響するからです。Dockerのハードンドイメージは、それらの基盤を置き換えるのではなく、そのまま保存します。
Docker Hardened Imagesは他のハード化イメージプロバイダーと比べてどうですか?
Docker Hardened Imagesは、開発者が既に使用しているディストリビューションをハード化し、独自または馴染みのないオペレーティングシステムへの移行を必要とせず、根本的に異なるアプローチを取ります。チームは最小限のワークフロー変更でドロップイン代替として採用できますが、他のプロバイダーはCI/CDパイプラインの再構築、デバッグワークフロー、依存関係管理を必要とする場合があります。
Docker Hardened Imagesカタログも無料で、Apache 2の下でオープンです。0 画像の有料壁や使用制限はありません。他のプロバイダーが無料アクセスで提供可能な画像数を大幅に制限したり、制作用途に有料購読が必要な場合もありますが、ハード化されたカタログ全体は制作用途を含め、すべての人に利用可能です。
硬化したイメージを社内で作ればいいのでは?
可能ですが、Docker Hardened Imagesは内部のハードニングパイプラインの維持管理負担を、継続的に維持され検証可能な本番対応イメージの供給に置き換えます。自社で強化画像を作成するチームは、ポートフォリオ内のすべての画像のSBOMや出所の確認に多大なエンジニアリング時間を投資し、パッチ、再構築、テスト、維持しています。
Docker Hardened Imagesでは、その作業は自動ビルドシステムによって処理され、上流の修正が利用可能になるたびにソースから再構築されます。組織は、監査人やセキュリティチームのニーズに応える完全なサプライチェーン認証17を持つ、ほぼゼロのCVEイメージを得られ、専用のイメージ強化機能を人員配置・維持する必要がありません。
標準カタログを超える必要があるチーム向けには、エンタープライズ層でDockerのHardened System Packagesリポジトリへのアクセスを提供し、同じ出所とパッチ適用の規律を保つカスタムイメージを作成できます。
Docker Hardened ImagesはAlpineやDebianで動作しますか?
はい。Docker Hardened ImagesはAlpineとDebianの基盤の上に構築されているため、チームがすでに使っているツール、ライブラリ、パッケージマネージャーと完全に互換性があります。glibc(Debian)やmusl(Alpine)に依存するチームは、既存の依存関係やシェルスクリプト、CI/CDパイプラインを壊すことなく強化イメージを採用できます。
他のハード化イメージプロバイダーは、標準的なLinuxユーティリティやツールとの互換性問題を引き起こすカスタムまたは独自ディストリビューションを使用することが多く、独自ディストリビューションを採用するには移行計画が必要です。Docker Hardened Imagesは基盤となるディストリビューションを保持するため、導入には通常Dockerfile内の1行だけを変更する必要があります。
DockerのHardened ImagesはCVEデータについてどの程度透明ですか?
Docker Hardened Imagesは、すべての画像に対して完全で抑制されていないCVEデータとOpenVEXの脆弱性評価を提供します。すべての脆弱性は完全に開示されます。VEXデータは、特定の画像構成でCVEが実際に悪用可能かどうかの文脈を提供し、セキュリティチームは生のスキャナー数ではなく現実のリスクに基づいて優先順位付けを行う情報を提供します。
一部のプロバイダーは独自のCVEフィードを通じてCVEの可視性をキュレーションしたり、露出した脆弱性をフィルタリングしたりしてリスクを隠蔽することもあります。Docker Hardened Imagesは逆の アプローチを取ります。既知のすべての問題を完全に可視化し、その上に悪用可能性のコンテキストを重ねてチームが情報に基づいた意思決定を行えるようにします。
Docker Hardened Imagesはどのようなコンプライアンス標準をサポートしていますか?
Docker Hardened Images SelectおよびEnterpriseティアには、FedRAMP、NIST、CISベンチマークを含む連邦および業界のコンプライアンス要件を満たすチーム向けに、FIPS検証済みおよびSTIG整合のイメージバリアントが含まれています。
すべてのティア、無料コミュニティティアを含むすべての画像には、完全なSBOM、SLSAビルドレベル 3 出所証明、暗号署名、OpenVEXの脆弱性データが付属しています。これらを組み合わせることで、監査人やセキュリティチームは各画像の内容、構築方法、画像内のコンポーネントを暗号的に検証できる記録を得られます。
Docker Hardened ImagesはどのようにしてCVEパッチを当てますか?
Docker Hardened Imagesは、上流の修正が利用可能になるたびに自動的にイメージを再構築する、連続的かつイベント駆動型のビルドシステムを使用しています。システムはエコシステム全体で数万件の CVE 通知をスキャンし、チームが自らパッチを当てることなくカタログ全体でほぼゼロの既知の CVE ベースラインを維持します。
SelectまたはEnterpriseティアの組織では、重要なCVE修正はSLAの下で 7 日以内に提供されます。
拡張ライフサイクルサポートとは何ですか?
拡張ライフサイクルサポート(ELS)は、Docker Hardened Imagesエンタープライズ層のアドオンで、ソフトウェアバージョンの上流終了後も最大5年間セキュリティカバーを延長します。上流パッチが停止しても、ELSは強化アップデート、SBOMの維持、そして継続的な出所確保によって脆弱性が対処されるようにします。
ELSは、規制要件、テストの制約、運用の複雑さにより上流のタイムラインでアップグレードできない組織向けに設計されています。これは、破壊的なバージョン移行を強制することなく、セキュリティとコンプライアンスを維持するためのサポートされた経路を提供します。
Dockerのハードンドイメージをカスタマイズできますか?
はい。Select層は限定的なイメージカスタマイズを含み、Enterprise層は無制限のカスタマイズ機能とDocker Hardened System Packagesリポジトリへの直接アクセスを提供します。これにより、チームは標準カタログを支える強化されたパッケージ、出所、パッチ適用の規律を用いてカスタムイメージを作成できます。
ベースレイヤーにパッチが当てられると、エンタープライズカスタマイズワークフローで構築したカスタムイメージを自動的に再構築します。これにより、カスタム画像を最新に保つために自作のCIスクリプトが不要となり、カスタムビルドがカタログの他の部分と同様に検証可能なサプライチェーンの整合性を保持することを保証します。
Docker Hardened Imagesによるカスタマイズは、SLSAレベルの 3 来、セキュリティ証明、Docker SLAを維持します。SLAはすべてのパッチを通じて自動的に維持されます。
Docker Hardened Imagesに移行するにはどうすればいいですか?
Docker Hardened Imagesへの移行は、Dockerファイルの行を1行だけ変更するだけで簡単にできるように設計されています。既存のライブラリ、スクリプト、CI/CDパイプラインは、イメージがチームがすでに使っているベースディストリビューションを保持しているため、通常は変更なしで動作します。