2025年12月18日,Docker宣布将其主打安全与精简的容器镜像产品——Docker Hardened Images(DHI,强化镜像)目录免费开放给所有用户使用。这款产品于2025年5月以商业付费形式首次推出,此次免费化旨在帮助广大开发者构建更安全的容器镜像,抵御日益严峻的供应链攻击。当然,面向企业的高级功能仍需通过订阅获得。
尽管开发者对这一福利表示欢迎,但受Docker过往调整免费政策的影响,不少人对该服务的长期免费性持谨慎态度。
一、免费开放强化镜像,保留企业付费服务
Docker已将其强化镜像目录免费开放供大众使用。这类镜像是基于安全且精简的基础环境(如Alpine或Debian)构建的,旨在为常见的运行时环境提供更安全的起点。不过,若用户需要符合特定行业合规标准(如FIPS、DoD STIG)并获取合同约定的持续安全补丁支持,则仍需选择其付费的企业级方案。
Docker表示,免费提供DHI将有助于社区抵御供应链攻击,因为每个镜像都附有完整的SBOM(软件物料清单),并会通过CVE(常见漏洞和暴露)数据库进行安全评估。这些镜像采用Apache 2.0许可证,Docker特别承诺“不会出现许可证方面的意外情况”。
对于企业用户,如需使用上述额外功能,则需购买企业许可证。这包括符合FIPS(联邦信息处理标准)和DoD STIG(国防部安全技术实施指南)的合规镜像支持、定制化服务,以及针对关键CVE漏洞的7天内修复服务承诺。
二、精简安全的镜像设计,需适配现有工作流
开发者可以从Docker Hub直接拉取这些强化容器镜像,但其定义和构建目录托管在GitHub上,用户也可以在该平台提交对新镜像的需求。自免费公告发布以来,已有大量新的强化镜像需求被提交。
DHI的设计理念是极简与安全。镜像通常不包含shell、没有包管理器,并以非root用户身份运行。这种设计能显著减少攻击面(Docker声称最多可减少95%),但也意味着从普通镜像迁移到强化镜像时,需要对现有的CI/CD工作流进行调整。
例如,PHP的强化镜像仅包含最基础的软件包。如果开发者需要添加更多扩展,则需要使用该镜像的-dev版本完成安装和编译,然后再将生成的必要文件复制到最终的运行时镜像中。这实际上倡导了一种更安全的、多阶段构建模式。
强化镜像本身并不限制用户添加自定义内容,但任何修改都可能引入新的风险或降低其固有安全性。对此,一位Docker员工在社区讨论中解释道:“这正是Docker Scout、Trivy、Grype等镜像扫描工具的用武之地,它们可以全面检查你构建的最终镜像的安全性。”
另一个现实的挑战是调试。由于镜像中没有shell,开发者可能需要借助像docker debug(或类似的第三方工具)来辅助排查问题。这类工具可以在不修改强化镜像本身的情况下,临时附着一个包含shell和诊断工具的容器。但需要注意的是,docker debug功能依赖于Docker Desktop,而在大多数商业使用场景中,使用Docker Desktop是需要订阅付费的。
三、开发者态度谨慎,担忧免费政策生变
开发者对DHI免费的初步反应较为积极,但鉴于Docker过往缩减免费服务、推广订阅制的历史,不少人对未来的政策持续性持观望和谨慎态度。有网友直言:“现在是免费的,就像以前镜像仓库和Docker Desktop也曾是‘免费’的一样……直到它们不再免费。”
这种担忧并非空穴来风。2025年早些时候,VMWare旗下的Bitnami就曾撤回了其长期免费的公共镜像目录(该目录在博通收购VMWare前一直免费)。Bitnami随后建议用户转而订阅其付费的“Bitnami Secure Images”,年费高达5万美元及以上。对此,Bitnami辩解称:“多年来,Bitnami一直是互联网领域的‘Jenkins’,但这种免费模式已难以为继。为公众运营构建管道和OCI注册表的成本极为高昂。”
针对类似的担忧,Docker方面回应称,DHI的免费模式具备可持续性。其逻辑在于:“我们确实为有特定需求的企业提供了企业级服务,包括合同约定的持续补丁SLA、受监管行业专用镜像,以及具备完整溯源和认证的安全定制服务。这些服务需要持续投入大量成本,将其作为付费服务保留,才能让我们为整个社区提供免费的强化镜像目录。”
不过,在商业环境中使用免费的DHI,仍可能需要一定级别的Docker订阅支持,因为拉取镜像需要登录Docker账号,且部分配套的诊断和调试工具确实依赖Docker Desktop。
四、容器安全成刚需,免费与付费模式博弈
DHI的免费化,折射出容器安全问题已成为行业刚需。随着供应链攻击事件频发,具备完整安全审计能力、可溯源的容器镜像越来越受企业重视。SBOM和持续的CVE漏洞检测已成为衡量一个容器镜像安全性的核心标准。
Docker此次将核心的安全镜像资产免费开放,既是应对市场竞争(如来自其他公有云厂商或开源项目的安全镜像方案)的举措,也是一种吸引和巩固开发者生态的策略。然而,如何长期平衡免费社区用户与付费企业用户的需求,构建一个健康且可持续的商业模型,避免重蹈某些服务“先免费后收费”引发社区反感的覆辙,仍然是Docker需要面对的挑战。
(本文资讯源自 devclass.com,经由 AI 翻译及优化,更多技术动态与深度讨论,欢迎访问 云栈社区 与广大开发者交流。)
发表于 4 天前
|
查看: 18|
回复: 0
