Docker已将其超过1000个强化容器镜像的目录免费开放在开源许可证下。Docker强化镜像此前是2025年5月推出的商业产品，但现在在Apache 2.0许可证下对所有开发者开放使用和分发，没有任何限制。

此举正值供应链攻击在软件行业中不断升级之际。根据Cybersecurity Ventures的预测，这类攻击在2025年将给全球企业造成600亿美元的损失，是2021年影响的三倍。随着Docker Hub每月处理超过200亿次容器拉取，Docker公司决定普及安全基础镜像的访问，这可能对容器生态系统产生深远影响。

Docker总裁兼首席运营官Mark Cavage表示安全必须从开发的最早阶段开始并且需要对每个开发者普遍可用。Cavage说：“通过免费提供强化镜像并提供与当今AI编码代理兼容的工具，我们为整个行业和社区提供了最佳的基础。”

这些强化镜像基于广泛采用的开源发行版，特别是Debian和Alpine Linux。它们旨在通过消除不必要的组件（如包管理器和shell）来减少攻击面。镜像默认以非root用户身份运行，并包含完整的软件物料清单、透明的漏洞数据以及具有SLSA构建级别3来源的加密真实性证明。

Docker声称，与传统基础镜像相比，强化镜像可将攻击面减少高达95%。公司还为Kubernetes环境开发了强化Helm Charts，并宣布了用于AI应用的强化MCP服务器。Docker高级首席工程师Christian Dupuis将这一宣布描述为行业的分水岭时刻。Dupuis说：“Docker正在从根本上改变应用程序的构建方式，为每个开发者、每个组织和每个开源项目提供默认的安全保障。”

这一举措得到了主要科技公司和行业组织的支持。在Docker的发布中，云原生计算基金会执行董事Jonathan Bryce对这一举措表示欢迎。Bryce说：“Docker将其强化镜像在Apache 2.0下免费开放，强调了其对开源生态系统的强烈承诺。”他补充说，许多CNCF项目已经可以在DHI目录中找到，为更广泛的社区提供安全、维护良好的构建模块有助于共同加强软件供应链。

在行业中还有其他类似的举措，旨在免费提供强化和精简的镜像，因为使用最小化、安全为重点的容器镜像已成为大多数组织的核心要求。谷歌多年来一直将其无发行版镜像作为开源项目，提供基于Debian的最小化容器镜像，仅包含应用程序运行时依赖项，没有shell或包管理器。最小的无发行版镜像大约为2兆字节，约为Alpine Linux大小的50%，不到标准Debian镜像的2%。包括Kubernetes、Knative和Tekton在内的主要项目已在生产环境中采用了谷歌的无发行版镜像。

竞争对手如Chainguard提供近500个最小化、强化的容器镜像，重点在于减少已知漏洞。该公司最近推出了一个新的镜像目录，附带安全建议和自动更新工具。Chainguard为开发者提供最新版本的免费镜像，同时提供带有补丁服务级别协议和联邦信息处理标准合规等功能的商业生产镜像。

Echo Software是该领域的另一竞争者，最近筹集了大量资金。该公司使用AI代理构建和维护无漏洞的容器镜像。据Market Research Future预测，容器安全行业在2025年的估值约为30亿美元，预计在未来十年内将超过200亿美元。

Docker的免费产品与两个商业层级共存。Docker强化镜像企业版提供关键漏洞修复的服务级别协议，修复时间为七天内，计划将其减少到一天或更短。企业版还提供符合联邦信息处理标准和国防部安全技术实施指南的镜像。它允许组织在保持Docker安全构建基础设施和合规保证的同时自定义镜像。Docker强化镜像扩展生命周期支持作为企业版的付费附加功能提供，为软件在其官方生命周期结束后提供长达五年的额外安全覆盖。这将适合需要在上游支持结束后仍需安全更新的遗留系统的组织。

公司还增强了其工具以支持向强化镜像的迁移。作为实验功能，Docker AI助手现在可以扫描现有容器并推荐与应用程序要求匹配的等效强化镜像。预计在从实际迁移中吸取一些经验后将达到普遍可用性。

转向Reddit，在一篇自称为热门观点的帖子中，开发者“sirpatchesalot”表达了对Docker强化镜像公告的担忧，认为这可能是为了配合Bitnami许可条款的变化而发布的。他还指出Docker过去将免费功能放在付费墙后的行为。他指出，将发行版限制为Debian和Alpine可能对需要商业发行版的企业环境造成问题，并质疑Docker关于CVE漏洞指标的准确性。

免费强化镜像很好。透明度、长期信任、操作系统灵活性和诚实的漏洞处理更为重要。如果你不看细则，你得到的不是“安全”，而是感觉。

与Bitnami最近决定撤回其免费公共镜像目录的决定相比尤其相关。Bitnami在被Broadcom收购后成为VMware的一部分，将用户转向每年5万美元或更多的付费订阅。Bitnami为这一决定辩护称，由于高昂的成本，为公众运营构建管道和OCI注册表已变得不可持续。Docker的方法不同，它明确在开源许可证下发布镜像，这为未来的可用性提供了更强的保证。公司还强调，这一举措与十多年前定义Docker官方镜像的精神相同，这些镜像是免费的，并且一直保持免费和持续维护。

Docker产品和工程执行副总裁Tushar Jain表示每个强化镜像都附带强大的来源、可重现的构建和明确的证明。Jain说，通过DHI企业版和扩展生命周期支持，公司为组织提供了保持关键系统安全所需的控制和长期保护。

强化镜像现已通过Docker Hub提供。Docker已安排了一场2026年1月13日的网络研讨会以提供使用免费强化镜像的实践指导。