Les conteneurs Docker sont réputés pour leur rapidité de déploiement, mais ils embarquent souvent des centaines, voire des milliers de bibliothèques et utilitaires. Cette richesse facilite le développement, mais complique aussi les audits de sécurité, la gestion des vulnérabilités et l’application rapide des correctifs.
Pour répondre à ce problème, Docker a créé les Docker Hardened Images (DHI) — et bonne nouvelle : elles sont désormais gratuites et open source pour tout le monde.
Que sont les Docker Hardened Images (DHI) ?
Les Docker Hardened Images sont des images Docker allégées et sécurisées, conçues pour exécuter des langages, frameworks, bases de données et outils populaires. Elles reposent sur Alpine Linux ou Debian, un nombre de paquets réduit au strict nécessaire et des correctifs de sécurité appliqués rapidement.
Résultat, une surface d’attaque fortement réduite, des images jusqu’à 95 % plus petites et beaucoup moins de CVE (failles de sécurité connues).
Docker affirme même que la version entreprise garantit un nombre de CVE « proche de zéro ».
Logiciels disponibles en images durcies
La galerie officielle des Docker Hardened Images comprend déjà de nombreux composants populaires, notamment : Python, Node.js, Go, Rust, .NET, Dart, MongoDB, Serveurs MCP, et bien d’autres.
Dans la majorité des cas, la migration est très simple. Par exemple :
FROM python:3.13
devient :
FROM dhi.io/python:3.13
Si certains outils manquent, il suffit de les installer ensuite manuellement dans l’image.
Une approche axée sur la transparence
Docker insiste sur un point clé : la transparence. « Alors que certains fournisseurs masquent les CVE pour afficher des scans “verts”, Docker reste toujours transparent, même lorsque des correctifs sont encore en cours. Vous devez connaître votre véritable posture de sécurité ».
Cette philosophie permet aux équipes de sécurité de voir exactement les risques, plutôt que de les ignorer.
Gratuit, open source… mais avec une option entreprise
Les Docker Hardened Images étaient auparavant réservées aux clients payants. Désormais, elles sont open source sous licence Apache 2.0 et elles sont gratuites pour tous les projets.
Docker propose toutefois une édition Enterprise destinée aux organisations ayant des exigences réglementaires strictes, avec un support longue durée (jusqu’à 5 ans) et des garanties supplémentaires en matière de sécurité et de conformité.
Et ce n’est qu’un début
Docker ne compte pas s’arrêter aux images : « Dans les prochains mois, nous étendrons cette base durcie à l’ensemble de la pile logicielle : bibliothèques durcies, paquets système durcis et autres composants critiques. L’objectif est simple : sécuriser votre application depuis main() jusqu’au système. »
Faut-il faire quelque chose dès maintenant ?
- Si vous construisez vos propres images : vous pouvez commencer à utiliser les images DHI dès aujourd’hui.
- Si vous utilisez des images existantes : rien à faire. Les projets migreront eux-mêmes vers les images durcies si cela vaut le coup.
Avec la mise à disposition gratuite des Docker Hardened Images, Docker améliore significativement la sécurité par défaut, réduit la complexité des audits et facilite le déploiement de conteneurs plus propres et plus sûrs.
C’est une évolution majeure pour les développeurs, les DevOps et les équipes sécurité, surtout dans un contexte où les chaînes logicielles sont de plus en plus surveillées.
