#Linux & Open Source · 3 Min. Lesezeit · Tim Rinkel

DOCKER-HAMMER! SLSA v1 Provenance landet JETZT IN DEINER Workstation — Container endlich kryptographisch beweisbar, dein Build-Chaos kann GEHEN

DOCKER-HAMMER! SLSA v1 Provenance landet JETZT IN DEINER Workstation — Container endlich kryptographisch beweisbar, dein Build-Chaos kann GEHEN
Lapalutschi-Plate 280: Docker Desktop SLSA v1 — Stapel von Container-Layern neben einem SLSA-v1-Provenance-Schild und Kubernetes-1.34.3-Label.

WAS SLSA v1 wirklich ändert

Docker Desktop hat einen Riesen-Schritt in Sachen Supply-Chain-Security gemacht: Das Mai-Release bringt SLSA-v1-Provenance-Support direkt in die Workstation. Heißt: Jeder Container, den du baust, bekommt ein KRYPTOGRAPHISCH SIGNIERTES Beweisstück mit, wer ihn wann auf welchem System gebaut hat. Endlich Schluss mit dem „Wer hat mir das Image untergeschoben?“-Drama!

Parallel dazu: Kubernetes 1.34.3 ist jetzt das Standard-K8s im Docker Desktop, der Linux-Kernel der eingebauten VM springt auf 6.12.72, und auch der Secrets-Engine wurde stabiler bei Load- und Startup-Operationen.

DAS sind die HEISSESTEN Fixes

  • Data-Loss-Bug bei Restore: Es gab einen üblen Fall, bei dem ein fehlgeschlagener Restore-Vorgang Backup-Daten gelöscht hat — Datenverlust ohne Recovery-Pfad. JETZT GEFIXT.
  • Privacy-Leak in Diagnose: Sign-in-Credentials konnten in Diagnose-Bundles auftauchen, wenn man Support-Logs an Docker geschickt hat. PEINLICH, aber jetzt behoben.
  • Kubernetes-Startup-Race: Wenn während des K8s-Starts eine Registry-Access-Management-Policy geändert wurde, blieb der Start hängen.
  • CVE-2026-33990: Docker Model Runner hatte eine RCE-Lücke — wer mit lokalen LLMs experimentiert, sollte das Update PRIORITÄT geben.

SLSA v1 — WAS ist DAS überhaupt?

SLSA (Supply-chain Levels for Software Artifacts, ausgesprochen „salsa“) ist ein Google-getriebenes Framework, das die Produktions-Kette von Software-Artefakten absichert. Level 1 (Provenance) heißt: Jeder Build hinterlässt einen nicht-veränderbaren Audit-Trail. Du kannst nachträglich beweisen, dass genau dieser Container genau aus diesem Git-Commit auf genau dieser Maschine entstanden ist.

Vorher musstest du dafür ein eigenes Tooling (in-toto, Witness, Sigstore Cosign) drumherum bauen — JETZT macht Docker Desktop das nativ. Klick, Build, signed!

EXTRA-TIPP für Solo-Entwickler

Auch wenn du KEIN Enterprise-Compliance-Mensch bist: SLSA-Provenance hilft DIR auf zwei Wegen. Erstens kannst du nachweisen, dass eine fremde Bibliothek deinen Build NICHT manipuliert hat. Zweitens — falls du je einen Open-Source-Container veröffentlichst — können DEINE Nutzer mit einem `cosign verify`-Befehl prüfen, dass das Image wirklich von dir kommt. SUPER PROFI-FAKTOR für die GitHub-Repos!

WAS du JETZT machen solltest

  1. Docker Desktop → Settings → Software Update → Check for updates.
  2. Update einspielen, Docker Desktop neu starten.
  3. Falls du Docker Model Runner nutzt: Modelle neu pullen, da CVE-2026-33990 die Runtime betraf.
  4. Optional: SLSA-Provenance in deinem Build-Workflow aktivieren — der neue Button heißt schlicht „Generate provenance“.

FAZIT: Container-Supply-Chain wird mainstream

Bisher war SLSA ein Spielzeug für Big-Tech und Sicherheits-Nerds. Mit Docker Desktops Mai-Release wandert die Funktion in die HAND jedes Hobby-Entwicklers. Update, klicken, geliefert. Die Konkurrenz (Podman, Rancher Desktop, Lima) wird nachziehen MÜSSEN — und das ist gut für die gesamte Container-Welt.

Häufige Fragen

Was ist neu in diesem Release?
Drei große Themen: SLSA-v1-Provenance für signierbare Builds, Kubernetes 1.34.3 als neuer K8s-Standard, und ein refresh des Linux-Kernels auf 6.12.72. Dazu Fixes für Restore-Bugs, Privacy-Leaks und einen RCE im Model Runner.
Lohnt sich das Update sofort oder kann ich warten?
Wegen CVE-2026-33990 im Docker Model Runner ist das Update für alle, die lokale LLMs nutzen, Pflicht. Wer Model Runner nicht einsetzt, hat etwas mehr Zeit, sollte aber innerhalb einer Woche aktualisieren.
Bricht das Update bestehende Docker-Compose-Setups?
Nein. Compose-Files, Volumes und Images bleiben unverändert. Auch laufende Container nehmen das Update unbeschadet mit — sie laufen einfach nach dem Restart von Docker Desktop weiter.
Wie aktiviere ich SLSA-Provenance in meinem Build?
In Docker Build: `docker buildx build –provenance=mode=max` setzen. In Docker Desktop UI gibt es in den Build-Settings einen neuen Toggle „Generate provenance“. Die Provenance wird neben dem Image als OCI-Attestation gespeichert.

Quellen: Docker Desktop Release Notes Mai 2026, Releasebot.io, InfoQ.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert