Wer Container in Produktion betreibt, kennt das Spiel: das Standard-Basisimage zieht halb Linux mit, dazu ein paar bekannte Lücken in libpopt oder OpenSSL, und die Trivy-Scans fluten dein Dashboard. Docker macht jetzt Schluss damit – und zwar auf eine Art, die selbst Open-Source-Hardliner überraschen dürfte.
Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.
HAMMER: 1.000+ Hardened Images, Apache 2.0, dauerhaft frei
Mehr als tausend Docker Hardened Images (DHI) – darunter Standardbasen wie Debian und Alpine sowie sprachspezifische Images für Python, Node, Java, Go und Co. – stehen dauerhaft kostenlos und vollständig Open Source unter Apache 2.0 zur Verfügung. Die Ankündigung lief Mitte Dezember 2025, am 29. April 2026 hat Docker die Grenze von 1.000 Images überschritten und das Programm offiziell ausgerollt.
SCHOCK: Rootless, schlank und CVE-frei
Die DHI-Images sind nicht „Standard mit Lippenstift“, sondern ernsthaft umgebaut:
- Rootless – Container laufen unter einem Non-Root-User, keine Root-Eskalation aus dem Box-Default.
- Stripped down – nur die Pakete, die wirklich nötig sind. Kein Bash in einer reinen Java-Runtime.
- Frei von bekannten CVEs – täglich gegen NVD und GHSA gescannt.
- VEX-Standard – Vulnerability Exploitability eXchange, damit du tatsächlich ausnutzbare Lücken von Rauschen unterscheiden kannst.
- 7-Tage-Patch-SLA – jede neue Lücke in DHI-Komponenten bekommt innerhalb einer Woche einen Fix.
UNGLAUBLICH: Apache 2.0 ohne Kleingedrucktes
Apache 2.0 heißt: du darfst die Images verwenden, modifizieren und weitervertreiben, sogar in kommerziellen Produkten. Keine Subscription, kein Dual-Licensing-Trick, keine Klausel à la „nur für Entwicklung kostenlos“. Wer schon Bauchschmerzen wegen Chainguard-Preisen oder Red-Hat-Subscriptions hatte, hat jetzt eine ernsthafte Alternative.
WIE du die DHI sofort einsetzt
- Auf Docker Hub das passende Hardened-Image-Repo suchen (z. B.
docker.io/dhi/python:3.13). - Im Dockerfile die
FROM-Zeile gegen das DHI-Tag tauschen. - Build laufen lassen und mit Trivy oder Grype das alte gegen das neue Image vergleichen.
- Im CI-Step den Pipeline-Cache invalidieren – das DHI ist ein Bruch im Schichten-Cache.
EXTRA-TIPP: Wer Enterprise braucht, zahlt weiter
Für Compliance-Use-Cases (FedRAMP, regulierte Industrien) bietet Docker weiterhin DHI Enterprise mit schnellerem Patching, Kunden-spezifischen Customizations und Extended Lifecycle Support. Aber für 95 % der Teams reicht der freie Katalog.
FAZIT: Endlich „secure by default“ ohne Subscription-Schmerz
Mit dem 1.000-Image-Sprung wird Docker zur realistischen Alternative zu Chainguard und Red-Hat-UBI. Wer aktuell Standard-Basisimages in Produktion einsetzt, sollte diese Woche einen Pilot-Switch wagen. Die Schmerzen sind klein, die CVE-Reduktion massiv – und der Trivy-Report wird zur Abwechslung mal grün.
Wer beim Container-Thema noch tiefer einsteigen will, findet im Praxisbuch Docker Deep Dive von Nigel Poulton* eine kompakte Einführung — vom ersten docker run bis zu Compose, Swarm und Image-Optimierung.