Après les images durcies, Docker veut étendre la sécurité au niveau des paquets

Après avoir ouvert à tous l’accès à ses images durcies (DHI) en décembre dernier, Docker annonce le lancement des « Docker Hardened System Packages ». L’objectif : sécuriser les composants individuels, c’est-à-dire les applications, peu importe l’image utilisée.

Au-delà de l’image de base : la sécurité au niveau du paquet

L’adoption des images durcies pour les conteneurs Docker s’accélère depuis décembre 2025. En effet, Docker avait pris la décision de rendre accessible à tous les développeurs ses images Docker Hardened Images (DHI), jusqu’ici réservées aux entreprises avec un abonnement. D’ailleurs, Docker affirme que le catalogue DHI est passé de 1 000 à plus de 2 000 images durcies, suite à ce changement de stratégie.

Dans un nouvel article de blog, Docker indique d’ailleurs que des éditeurs importants, comme Adobe ou la plateforme d’automatisation n8n.io, utilisent désormais des images DHI en production.

Désormais, Docker veut aller plus loin que ces images de base minimales et sécurisées, visant le « zéro CVE ». Docker veut s’attaquer à la sécurisation des paquets applicatifs, et même lorsque l’image est durcie, c’est précisément là que des vulnérabilités peuvent être réintroduites.

Le nom de cette nouveauté : Docker Hardened System Packages. L’idée est d’appliquer les mêmes principes de sécurité aux paquets individuels.

« Chaque package repose sur la même chaîne logistique sécurisée : développé et corrigé par Docker, certifié cryptographiquement et couvert par un accord de niveau de service (SLA). », explique Docker. Autrement dit, Docker construit chaque paquet sécurisé à partir des sources officielles de l’application afin d’en faire un paquet signé en sortie.

Plus de 8 000 paquets durcis pour Alpine sont déjà disponibles, et cette prise en charge sera bientôt étendue à Debian. « La maintenance de milliers de paquets est un travail continu. Nous surveillons les projets en amont, rétroportons les correctifs, testons la compatibilité, reconstruisons lorsque les dépendances changent et générons des attestations pour chaque version. Alpine compte à lui seul plus de 8 000 paquets aujourd’hui, bientôt 10 000, suivi de Debian. », peut-on lire.

Les paquets respectent le standard SLSA Build Level 3, garantissant une traçabilité de la compilation à l’installation. Dans le cas où une vulnérabilité est identifiée, le paquet est patché puis mis à jour dans le catalogue. Ainsi, il est possible d’en bénéficier dans un ensemble d’images, ce qui évite justement une approche où le correctif est apporté image par image.

Nouvelle gamme DHI

Pour clarifier son offre, Docker explique également avoir restructuré ses niveaux de service :

• DHI Community : c’est le nouveau nom de l’offre gratuite et open source (sous licence Apache 2.0). Elle donne accès au catalogue d’images durcies.
• DHI Select : une nouvelle offre intermédiaire facturée 5 000 dollars par dépôt. Elle s’adresse aux équipes nécessitant des garanties de remédiation des CVE (SLA).
• DHI Enterprise : pour les besoins les plus critiques, cette offre permet un accès direct au dépôt des Hardened System Packages pour faciliter l’intégration dans vos propres pipelines, ainsi qu’un support étendu (LTS). Un add-on nommé DHI Extended Lifecycle Support offre aussi ses avantages.

À en croire l’annonce de Docker, ces nouveaux paquets sécurisés appelés Docker Hardened System Packages sont accessibles uniquement aux entreprises.

Source