【导读】:2025 年 12 月 18 日,Docker 宣布将其 Docker Hardened Images(DHI)强化镜像目录免费开放给所有用户使用。这款主打安全与精简的容器镜像产品,此前于 2025 年 5 月以商业付费形式推出,如今免费化的举措旨在帮助开发者抵御供应链攻击,但企业级高级功能仍需订阅付费。
尽管开发者对这一福利表示欢迎,但受 Docker 过往调整免费政策的影响,不少人对该服务的长期免费性持谨慎态度。
一、免费开放强化镜像,保留企业付费服务
Docker 已将其强化镜像目录免费开放供大众使用,这类镜像旨在基于安全且精简的基础环境运行常见的运行时环境,不过若要符合特定合规标准并获取持续安全补丁支持,仍需选择付费方案。
Docker 表示,免费提供 DHI 将有助于抵御供应链攻击,因为每个镜像都包含完整的 SBOM(软件物料清单),并会通过 CVE(常见漏洞和暴露)数据进行安全评估。这些镜像采用 Apache 2.0 许可证,Docker 承诺"不会出现许可证方面的意外情况"。
企业用户若需使用额外功能,则需购买企业许可证,包括符合 FIPS(联邦信息处理标准)和 DoD STIG(国防部安全技术实施指南)的合规支持——这些功能仅适用于部分强化镜像、定制化服务,以及 7 天内的关键 CVE 漏洞修复服务。
二、精简安全的镜像设计,需适配现有工作流
强化镜像可从 Docker Hub 拉取,但其定义目录托管在 GitHub 上,用户也可在该平台提交新镜像的需求。自 2025 年 12 月 17 日发布免费公告以来,已有大量新的强化镜像需求被提交。
DHI 于 2025 年 5 月首次作为商业产品推出,镜像基于 Alpine 或 Debian Linux 构建,通常不包含 shell、无包管理器,并以非 root 用户身份运行。这种极简设计意味着,从普通镜像迁移到强化镜像需要对现有工作流进行调整。例如,PHP 的强化镜像仅包含最基础的软件包,若需添加更多包,需使用该镜像的-dev 版本完成安装,再将生成的文件复制到运行时镜像中。
强化镜像并不限制用户添加自定义内容,但这类修改可能会降低其安全性。对此,一位 Docker 员工在 Hacker News 上解释道:"这正是 Docker Scout、Trivy、Grype 等扫描工具的用武之地,它们可以全面检查你构建的最终镜像安全性。"
另一个挑战是调试工作。由于镜像中没有 shell,开发者可能需要借助 Docker Debug 等工具,这类工具无需修改强化镜像本身,即可提供 shell、编辑器和进程查看器等功能。但 Docker Debug 需要依赖 Docker Desktop,而在大多数商业场景中,使用 Docker Desktop 需要订阅付费。
不过,强化镜像的优势也十分显著:相比通用镜像,它体积更小、安全性更高,Docker 声称其攻击面最多可减少 95%。
三、开发者态度谨慎,担忧免费政策生变
开发者对 DHI 免费的初步反应较为积极,但鉴于 Docker 过往缩减免费服务、推广订阅制的历史,不少人对未来政策持谨慎态度。有网友直言:"现在是免费的,就像以前镜像仓库和 Docker Desktop 也曾是'免费'的一样……直到它们不再免费。"
2025 年早些时候,VMWare 旗下的 Bitnami 就曾撤回其免费的公共镜像目录——这些镜像在博通收购 VMWare 之前一直免费提供。Bitnami 随后建议用户转而订阅其付费的 Bitnami Secure Images,年费高达 5 万美元及以上。对此,Bitnami 辩解称:"多年来,Bitnami 一直是互联网领域的 Jenkins,但这种免费模式已难以为继。为公众运营构建管道和 OCI 注册表的成本极为高昂。"
针对类似的担忧,Docker 方面回应称,DHI 的免费模式具备可持续性,原因在于:"我们确实为有特定需求的企业提供了企业级服务,包括合同约定的持续补丁 SLA、受监管行业专用镜像(如 FIPS 合规版),以及具备完整溯源和认证的安全定制服务。这些服务需要持续投入大量成本,将其作为付费服务保留,才能让我们为整个社区提供免费的强化镜像目录。"
不过,在商业场景中使用 DHI,仍可能需要一定级别的 Docker 订阅支持,因为使用该服务需要登录账号,且部分配套工具依赖 Docker Desktop。
四、容器安全成刚需,免费与付费模式博弈
DHI 免费化的背后,是容器安全问题日益受到重视的行业趋势。随着供应链攻击频发,具备完整安全审计能力的容器镜像成为企业刚需,而 SBOM 和 CVE 漏洞检测已成为衡量镜像安全性的核心标准。
Docker 此次将核心安全工具免费开放,既是应对市场竞争的举措,也是吸引开发者生态的策略。但如何平衡免费用户与付费企业用户的需求,避免重蹈 Bitnami 的覆辙,成为摆在 Docker 面前的挑战。
(英文:
devclass.com/2025/12/18/docker-hardened-images-now-free-devs-give-cautious-welcome,本文经由 AI 大模型翻译+优化)
- EOF -
