大家好!今天我带来了一个足以震撼云原生安全市场的重磅消息。那就是Docker雄心勃勃推出的DHI(Docker Hardened Images)的政策变更。
开门见山地说,现在企业也可以免费使用DHI了! 🎊
那些一直觉得“安全性很好,但付费有点负担…”的朋友们,请注意了。我们将详细探讨Docker在2025年12月做出了怎样的决定,以及免费版与付费企业版有何不同! 🕵️♂️
1. DHI到底是什么,为什么引起轰动? 🤔
DHI(Docker Hardened Images)一言以蔽之,可以看作是“经过瘦身并穿上防弹衣的Docker镜像”。
我们通常使用的基础镜像(如Debian、Alpine等)中,往往包含比想象中更多的非必要软件包,因此暴露于安全漏洞(CVE)的风险也更大。DHI彻底移除了这些,从而形成了一个非常干净、坚固的镜像,将攻击面最大减少了95%。
- 接近零漏洞: 在构建时仅使用经过验证的软件包。
- 提供SBOM: 默认包含软件物料清单(Software Bill of Materials),提高透明度。
- SLSA Level 3认证: 证明构建过程本身是安全的。
2. “全面免费化”的真相:公司也能免费用? 🆓
DHI最初在2025年5月发布时是付费订阅用户专属服务。但Docker在2025年12月17日调整了策略,将1,000多个强化镜像以Apache 2.0许可证全面免费公开。
“现在,个人开发者、初创公司和大型企业都可以免费将DHI用于商业用途。”
这意味着,即使您的公司服务将DHI作为基础镜像使用,也完全不需要额外费用! 👏
3. 那么付费的“DHI Enterprise”为什么还存在? 🧐
您可能会想:“如果都免费了,谁还会花钱买企业版呢?”然而,在企业环境中,“责任”和“合规性”有时比金钱更重要。企业版提供了以下强大的“保障”:
| 类别 | DHI Free (免费) | DHI Enterprise (付费) |
|---|---|---|
| SLA (补丁保证) | 不保证补丁发布时间 | 重要漏洞7天内补丁保证 |
| 特殊合规性 | 通用安全强化 | 提供FIPS 140-3, STIG等认证镜像 |
| 生命周期延长 (ELS) | 支持结束后停止补丁 | 最长5年额外安全支持 (可选) |
| 自动化工具 | 手动管理和构建 | 与Docker构建基础设施集成并自动重建 |
一句话总结: “直接使用镜像是免费的,但如果需要‘保证快速修复’和‘政府监管认证’,那就得付费!”这就是Docker的策略。💡
4. 实际应用示例💻
使用免费DHI镜像的方法非常简单。就像查找现有镜像一样,访问https://hub.docker.com 并搜索所需的镜像。这里我们以搜索nginx为例。
切换到“Images”选项卡,您可以看到锁定的付费镜像和可免费使用的镜像。您还可以检查是否存在包管理器和Shell以增强安全性。
这里我们将使用一个既没有包管理器也没有Shell的镜像。这个镜像处于非常好的无漏洞状态。点击这个镜像,然后点击“Use this Image”按钮,会显示拉取(Pull)和登录(Login)的方法。
按照此指南执行登录。登录操作与登录现有的hub.docker.com相同,可以通过PAT方式进行。
# 使用以下命令执行登录
docker login dhi.io -u <username>
# 下载镜像
docker pull dhi.io/nginx:1
# 使用镜像启动nginx服务
docker run -d -p 8080:8080 --name nx dhi.io/nginx:1仅仅通过这样的更改,您的容器安全评分就会显著提高。📈
总结:安全不再是选择,而是必需! 🛡️
Docker免费开放DHI的原因很明确:旨在将供应链安全打造成行业标准。
如果您的公司项目不受金融或政府项目等严格法规的约束,我强烈建议您立即切换到免费的DHI镜像。因为成本为零,但安全事故的风险却能显著降低! 🚀
希望今天的新闻能对您的云基础设施安全大有帮助。
发表回复