Announcing Docker Hardened System Packages

Context

기존에는 Docker가 DHI(Docker Hardened Images) 기본 이미지만 하드닝했으나, 팀들이 프로덕션 요구사항을 충족하기 위해 추가 업스트림 패키지를 설치하면서 보안 보장이 기본 이미지 수준으로 제한되었다. CVE 패치도 이미지 단위로 배포되어 전체 컨테이너 플릿에 걸친 취약점 해결 속도가 느렸다.

Technical Solution

• Alpine 8,000개 이상, Debian은 추가 예정인 하드닝된 시스템 패키지 카탈로그 구축: 각 패키지를 Docker가 소스에서 빌드하고 SLSA Build Level 3 파이프라인으로 검증
• 패키지 단위 취약점 패치 배포: CVE 발견 시 개별 패키지 수준에서 패치를 생성하고 카탈로그에 발행해 이미지 단위 배포보다 빠른 확산
• 완전한 공급망 추적성 확보: 기본 이미지에서 최종 컨테이너까지 모든 패키지를 암호학적으로 서명하고 증명(attestation)
• DHI Enterprise 고객에게 보안 패키지 저장소 접근 제공: 하드닝된 패키지를 DHI 이미지 외부의 자체 파이프라인과 Alpine/Debian 워크로드에 통합 가능
• 라이선스 체계 단순화 및 가격대 확대: DHI Community(무료 오픈소스), DHI Select(연 $5,000/리포지토리), DHI Enterprise(무제한 커스터마이징 및 5년 라이프사이클 지원)

Impact

DHI 카탈로그가 1,000개 이상에서 2,000개 이상으로 확장되었다.

Key Takeaway

컨테이너 보안을 기본 이미지 수준에서 시스템 패키지까지 확장하고 패키지 단위 패치 배포로 취약점 해결 속도를 높이되, Alpine/Debian 같은 기존 배포판 선택을 유지하는 멀티 디스트로 유연성이 공급망 보안 강화의 핵심이다.