Daha güvenli bir container ekosistemi için Docker: Ücretsiz Docker Hardened Images duyuruldu

 (docker.com)
6 puan yazan GN⁺ 2025-12-19 | 1 yorum | WhatsApp'ta paylaş
  • Docker Hardened Images (DHI), güvenliği güçlendirilmiş, minimal yapıda, üretim kullanımı için container imajlarıdır ve tüm geliştiricilerin ücretsiz kullanabilmesi için Apache 2.0 lisansı ile yayımlandı
  • DHI, Alpine ve Debian tabanlı olarak hazırlandığı için mevcut iş akışlarına kolayca entegre edilebilir; SBOM, SLSA Build Level 3 ve şeffaf CVE açıklamaları ile güvenilir bir güvenlik temeli sunar
  • Kurumsal sürüm olan DHI Enterprise, 7 gün içinde CVE yama SLA’sı, regülasyona tabi sektörler için (FIPS, STIG) imajlar ve özelleştirilmiş build altyapısı içerirken, Extended Lifecycle Support (ELS) en fazla 5 yıl ek güvenlik desteği sağlar
  • Adobe, Qualcomm, Google, MongoDB ve Anaconda gibi büyük şirketler DHI’yi benimseyerek veya iş ortağı olarak katılarak yazılım tedarik zinciri güvenliğini güçlendirme çalışmalarına destek veriyor
  • Docker, bu adımla tüm geliştiricilerin ve kuruluşların varsayılan olarak güvenli bir container ortamıyla başlayabileceği bir endüstri standardı oluşturuyor

Docker Hardened Images’e genel bakış

  • Docker Hardened Images (DHI), Mayıs 2025’te kullanıma sunulmasından bu yana 1.000’den fazla imajı ve Helm chart’ı güçlendiren, güvenlik odaklı bir imaj seti
    • Aralık 2025’ten itibaren tüm geliştiricilere ücretsiz ve açık kaynak olarak sunuluyor
    • Apache 2.0 lisansı ile dağıtıldığı için kullanım, paylaşım ve değiştirme konusunda kısıtlama yok
  • Docker Hub, ayda 20 milyardan fazla image pull kaydederken, dünya genelinde 26 milyondan fazla geliştirici container ekosistemine katılıyor
  • Tedarik zinciri saldırıları 2025’te 60 milyar doların üzerinde zarara yol açtı ve bu rakam 2021’e göre 3 kat arttı; bu da daha güçlü güvenlik önlemlerine duyulan ihtiyacı öne çıkarıyor

DHI’nin başlıca özellikleri

  • Temelinde şeffaflık ve minimizasyon bulunan güvenli imaj yapısı
    • Saldırı yüzeyini en aza indirirken gerekli geliştirme araçlarını korumak için distroless runtime kullanır
    • Tüm imajlarda eksiksiz SBOM ve SLSA Build Level 3 provenance bilgisi bulunur
    • Açık CVE verilerine dayalı değerlendirme ile zafiyetleri gizlemeden şeffaflık sağlar
    • Tüm imajlara orijinallik doğrulama imzası eklenir
  • Alpine ve Debian tabanlı olduğu için mevcut geliştirme ekipleri bunu minimum değişiklikle benimseyebilir
    • Docker’ın AI Assistant aracı mevcut container’ları analiz ederek karşılık gelen hardened imajları önerebilir veya otomatik uygulayabilir (şu anda deneysel aşamada)
  • Varsayılan güvenlik ayarlarını korurken imaj boyutunu %95’e kadar küçültür
    • DHI Enterprise’da neredeyse sıfır CVE seviyesi garanti edilir

DHI Enterprise ve ELS

  • DHI Enterprise
    • Regülasyona tabi sektörler ve kamu kurumları için FIPS ve STIG uyumlu imajlar sunar
    • CIS benchmark uyumluluğu ve 7 gün içinde kritik CVE düzeltme SLA’sı sağlar
    • İmaj özelleştirme, runtime yapılandırması, sertifika ve paket ekleme gibi alanlarda tam kontrol sunar
    • Docker’ın build altyapısı üzerinden build provenance ve uyumluluk otomatik olarak yönetilir
  • DHI Extended Lifecycle Support (ELS)
    • DHI Enterprise için ücretli bir genişletme seçeneğidir ve 5 yıla kadar ek güvenlik yamaları sağlar
    • Upstream desteği sona erdikten sonra da sürekli CVE yamaları, SBOM güncellemeleri, imzalama ve denetlenebilirlik sürer

Ekosistem genişlemesi ve iş ortaklıkları

  • DHI, Google, MongoDB, CNCF, Snyk ve JFrog Xray ile iş birliği yaparak güvenli tedarik zinciri entegrasyonunu ilerletiyor
    • Snyk ve JFrog Xray, DHI’yi doğrudan tarayıcılarına entegre etti
    • CNCF, DHI’nin açık kaynak ekosistemini güçlendirmeye katkı sağladığını belirtiyor
  • Adobe, Qualcomm, Attentive ve Octopus Deploy gibi şirketler DHI sayesinde uyumluluk ve güvenlik seviyelerini yükseltti
  • MongoDB, Anaconda, Socket, Temporal, CircleCI ve LocalStack gibi önde gelen teknoloji şirketleri DHI’nin açıklığını ve güvenliğini destekliyor

Docker Hardened Helm Charts ve MCP Servers

  • Hardened Helm Charts sayesinde Kubernetes ortamlarında da DHI imajları kullanılabiliyor
  • Hardened MCP Servers ile Mongo, Grafana, GitHub gibi başlıca MCP sunucularının güvenliği artırılmış sürümleri sunuluyor
    • İleride güvenlik kütüphaneleri ve sistem paketleri gibi alanlara da genişletilmesi planlanıyor
    • Amaç, uygulamanın main() fonksiyonundan tüm stack’e kadar güvenliği sağlamak

Docker’ın felsefesi ve vizyonu

  • Temel imaj uygulama güvenliğini belirlediği için tam şeffaflık ve doğrulanabilir güven esastır
  • DHI, güvenliğin varsayılan olduğu bir geliştirme ortamı sunar ve tüm geliştiricilerin ile kuruluşların aynı güvenlik seviyesinden başlamasını mümkün kılar
  • Bu ücretsiz yayın, Docker’ın 10 yılı aşkın süre önce Docker Official Images’ı ücretsiz sunma anlayışının devamı niteliğinde
    • Net dokümantasyon, tutarlı bakım ve açık iş ortaklıkları ile sektör genelinde güvenlik seviyesini yükseltmeyi hedefler

Nasıl başlanır

Sonuç

  • Docker, DHI ile tüm geliştiriciler için güvenliğin varsayılan olduğu bir container ortamı sunuyor
  • Bu adım, yazılım tedarik zinciri güvenliğinde endüstri standardizasyonunu hızlandırmayı ve açık kaynak iş birliğine dayalı sürdürülebilir bir güvenlik ekosistemi kurmayı hedefliyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-12-19
Hacker News yorumları

  • Docker’ın Hardened Images (DHI) artık herkes için ücretsiz sunuluyor
    Düzenlemeye tabi sektörlerde (bankacılık, sigorta, kamu kurumları vb.) bu tür güvenliği güçlendirilmiş imajlara ciddi ilgi olabilir

    • Daha önce ücretsiz registry hizmetini ücretliye çevirdiği için, Docker’ın ücretsiz politikasına güvenmek zor
      Sektör genelinde bait and switch modeli fazla yaygınlaştı
    • VulnFree CEO’su olarak bakınca, bu duyuru bana sadece bir pazarlama stratejisi gibi görünüyor
      Chainguard’ın büyüme hızı Docker’dan çok daha yüksek ve Docker da bu akımı yakalamaya çalışıyor gibi
    • İmajı pull etmeye çalıştım ama 401 hatası aldım. Giriş yapmak mı gerekiyor? Ücretsiz bir şey için garip bir erişim modeli
    • Önüne giriş zorunluluğu konmuş olması yüzünden denemek bile istemedim. Gereksiz sürtünme yaratıyor
    • Bu duyuru metninin kendisi bile sanki LLM tarafından üretilmiş gibi hissettiriyor

  • Bu, Bitnami/VMWare/Broadcom Helm chart’larını durdurmasına karşı Docker’ın yanıtı gibi görünüyor

    • Muhtemelen Chainguard’ın hızlı büyümesine verilmiş bir tepki. VC’ler yapay zeka değil, güvenlik imajları alanına yüz milyonlarca dolar yatırıyor
    • Ben de aynı fikirdeyim

  • İlk bakışta bunun basitçe bire bir değiştirilebilir bir çözüm olmadığı anlaşılıyor
    Giriş zorunluluğu var ve PAT (personal access token) kişisel hesaba bağlı
    Bir startup açısından enterprise plan için satış ekibiyle görüşmenin pek anlamı yok
    CI/CD ortamı dışında sadece yerel geliştirme için kullanılabiliyorsa pratik değeri düşük

    • Docker for Teams aylık yaklaşık 15 dolar ve enterprise hardened images çevrimdışı mirroring ya da regülasyon uyumluluğu için ayrı konumlanıyor
      CVE hardened images’ın asıl değeri ölçekte güvenilirlik. Çünkü ekip bazında doğrudan tarama ve yama yönetimi yapmak pratikte zor

  • Hardened image pazarı doygun görünmeye başladı
    Kubecon’da bile en az 3 şirket aynı hizmeti sunuyordu
    Pazarı ilk açan Chainguard’dı ve 0 CVE image yaklaşımı startup’ların güvenlik incelemelerinden geçmesine çok yardımcı oldu
    Ama artık Minimus, Ironbank gibi rakipler de artıyor. Ekosistem için olumlu ama pazarın o kadar büyük olmayabileceğini düşündürüyor

    • Asıl sorun pazarın doyması değil, Docker bunu ücretsiz verirse pazarın kendisi ortadan kalkabilir
    • Chainguard VM image’lara ve dil bazlı repository’lere doğru genişliyor ama düzenlemeye tabi sektörler dışında ücretli talebin ne kadar olacağı belirsiz
      Docker ücretsiz sunarsa giriş bariyeri düşer ve denemesi kolaylaşır
    • Ironbank imajları DoD dışındaki kurumlar tarafından da kullanılabiliyor. Sadece hesap kaydı gerekiyor
    • VulnFree CEO’su olarak, Chainguard’ın ilk başlayan olup olmadığını bilmiyorum ama hâlâ karşılanmamış talep var
    • Aslında Ironbank bunu Chainguard’dan önce yapıyordu. Ama kalite düşüktü ve container’ları sık sık bozma sorunu vardı
      glibc sürüm farkı yüzünden segfault oluşması gibi, hardened süreci çoğu zaman sadece binary kopyalama seviyesindeydi
      Kamu ve regülasyona tabi sektörlerde talep hâlâ yüksek ama bağımsız bir iş modeli olarak sürdürülebilirliği düşük
      Chainguard sanki kurucularının itibarı sayesinde ayakta duruyor ve sonuçta bu iş Linux dağıtımı iş modeline benziyor
      Zaten Linux dağıtımı sunan şirketler için bu tür hizmetler doğal bir genişleme alanı

  • Docker çalışanı olarak, güvenli-varsayılan (secure-by-default) yaklaşımını tüm geliştiriciler için başlangıç noktası yapmak istiyoruz
    Tüm imajlara VEX dokümanları ve attestations, ayrıca metadata ekleyerek şeffaflığı artırdık
    Bunu sadece base image’larla sınırlı tutmayıp MCP server’lar gibi tüm stack’e yaymayı planlıyoruz
    Enterprise katmanda sürekli yama SLA’leri, FIPS varyantları, güvenlik özelleştirmeleri gibi özellikler ücretli olacak
    Böylece topluluk için ücretsiz kataloğu sürdürebileceğiz

    • Örnek olarak verilen PHP image spec içindeki Dockerfile formatı alışılmadık görünüyor
      Bunu build edebilen ayrı bir araç mı var diye merak ettim

  • Docker’ın ücretsiz politikasında her an ücretliye dönebilir endişesi var
    Daha önce Docker Desktop ve Registry örneklerinde bunu gördük

  • Bitnami’nin ücretsiz hardened image’ları sonlandırdığı zamana Docker’ın duyurusunun denk gelmesi ilginç
    Yine bir “önce ücretsiz, sonra ücretli” senaryosu mu göreceğiz diye endişe yaratıyor
    Docker hep VC büyüme stratejisi izliyormuş gibi duruyor

    1. Ekosistemi ücretsizle büyüt
    2. Kullanıcıyı kilitledikten sonra ücretlendir
    3. Gelir elde et
    • Bizim ekip Bitnami imajlarından altyapısını zaten taşıdı. Docker’a artık güvenmiyoruz

  • Docker’ın sürdürmesi gereken build script’leri epey karmaşık görünüyor
    Örnek: Traefik build YAML
    Buna karşılık Nix zaten çoğu yazılımı paketlemiş durumda ve container’a dönüştürmek de ek iş gerektirmiyor
    Yeniden üretilebilir build’ler ve büyük ölçekli cache altyapısı zaten mevcut
    Docker’ın bu seviyeye gelmesi için topluluk desteği olmadan her şeyi kendi başına kurması gerekir

  • Açık kaynak deniyor ama Traefik hardened image için kaynak kodu görünmüyor
    Catalog YAML sadece basit bir yapılandırma dosyası, build dosyası değil
    Görünüşe göre dhi adlı bir araç gerekiyor ama buna dair dokümantasyon yok
    Çevrimdışı ortamda doğrudan build edilemiyorsa buna gerçek anlamda açık kaynak demek zor

  • VulnFree CEO’su olarak bana göre Docker’ın bu duyurusu Chainguard’ın ivmesini kesmeye dönük bir pazarlama hamlesi
    Bu alanda yenilik az ve çoğu şey temelde Chainguard modelinin türevinden ibaret
    Chainguard yatırım aldıktan sonra VC’ler “güvenlik image” pazarına akın etti, Bitnami ücretli modele geçmeye çalıştı ve Docker bu boşluğu ücretsiz sunumla doldurdu
    Ama kaynak kodunu neden açmadıkları açık — açarlarsa giriş bariyeri ortadan kalkar
    Mevcut fiyat seviyelerinde bunu kendi başına build etmek daha ucuz
    VulnFree için asıl değer, geliştirme ekiplerinin iş akışına uyarlanmış özelleştirilmiş hardened image’lar sunmak