Docker libera sus mejores imágenes: hasta 95% menos tamaño y cero vulnerabilidades

La empresa Docker anunció que hace sus imágenes de contenedor Docker Hardened Images (DHI) gratuitas y totalmente abiertas: se pueden usar, distribuir y modificar sin restricciones bajo la licencia Apache 2.0. La idea es simple: dar a los desarrolladores un «punto de partida» seguro para producción desde el primer docker pull, en medio del fuerte aumento de los ataques a las cadenas de suministro.

La empresa explica el paso como una cuestión de responsabilidad a gran escala: Docker Hub, según sus datos, atiende más de 20.000 millones de descargas de imágenes al mes, y los contenedores se han convertido en la vía estándar de entrega de software para la gran mayoría de organizaciones. Además, los ataques a la cadena de suministro, según afirma Docker, se encarecen rápidamente para la industria: en 2025 los daños superaron los 60.000 millones de dólares, varias veces más que en 2021. La lógica de Docker es: si las imágenes base «desde el inicio» no son seguras, luego se pueden construir procesos todo lo que se quiera, pero los cimientos seguirán agrietándose.

La empresa lanzó DHI en mayo de 2025 como un conjunto de imágenes mínimas, listas para producción, ya configuradas para reducir la superficie de ataque. Desde entonces, escribe Docker, han «endurecido» más de mil imágenes y charts de Helm en el catálogo. Ahora abren ese conjunto a todos los desarrolladores, mientras que siguen siendo de pago los escenarios que requieren garantías estrictas y mantenimiento: por ejemplo, actualizaciones de seguridad continuas con el compromiso de corregir vulnerabilidades críticas en un plazo de hasta 7 días, compilación de imágenes personalizadas en la infraestructura de Docker, soporte para sectores regulados (como los requisitos FIPS/FedRAMP) o parches después del final de soporte de proyectos upstream.

Una de las ideas clave de DHI es la máxima transparencia. Docker subraya que cada imagen va acompañada de una SBOM verificable, y que el proceso de compilación tiene el origen del nivel SLSA Build Level 3. Se hace un énfasis particular en las vulnerabilidades: la empresa afirma que no ocultará CVE para lograr un informe de escáner más favorable y prefiere mostrar la situación real aun cuando la corrección esté en curso. Como resultado, prometen menos vulnerabilidades, imágenes más compactas (hasta una reducción del 95% del tamaño) y configuraciones seguras por defecto, sin renunciar a las bases habituales de la industria —Alpine y Debian.

Al mismo tiempo Docker reconoce que la migración a imágenes base más estrictas no es un botón para «hacerlo bien», sino un trabajo en el que es fácil topar con incompatibilidades y con las costumbres de los equipos. Para reducir la barrera de entrada, la compañía habla de un nuevo modo experimental en su asistente de IA: debe analizar los contenedores existentes y sugerir variantes «endurecidas» equivalentes y, a futuro, ayudar a aplicarlas en la práctica.

Al mismo tiempo Docker amplía la idea de DHI más allá de «solo imágenes». Anteriormente la compañía publicó Hardened Helm Charts para entornos Kubernetes, y ahora anunció Hardened MCP Servers —servidores «endurecidos» para la capa MCP, que en Docker llaman la capa base para aplicaciones con agentes. Entre los primeros se mencionan servidores para Mongo, Grafana, GitHub y otras integraciones populares. Más adelante, según los planes de la empresa, el mismo enfoque debería llegar a toda la «pirámide» de dependencias: bibliotecas, paquetes del sistema y componentes de los que depende prácticamente cualquier producto.

En esencia, Docker propone a la industria una nueva «norma»: empezar no con el abstracto «luego cerraremos las vulnerabilidades», sino desde una base lo más limpia y verificable posible. Y a quienes necesitan plazos jurídicos y operativos asegurados para cerrar CVE críticos, cumplimiento de requisitos de compliance y soporte prolongado, la compañía ofrece opciones comerciales —como una capa adicional sobre el fundamento abierto y gratuito.