La sécurité dans les infrastructures conteneurs est un sujet sensible, et parfois critique. De nombreuses images sont anciennes, pis, des milliers d'images ne sont pas patchés. Les attaques contre la supply chain logicielle ont explosé en 2025, personne, ni aucune technologie, n'est épargnée. Ce manque de mise à jour, et de rigueur, ouvre la surface d'attaque potentielle et multiplie les vulnérabilités. Pour répondre à ces critiques, Docker définit les Hardened Images (DHI). 

En mai 2025, Docker annonçait les Hardened Images. Ce sont des images incluant by design une sécurité minimale et prêtes à la production. L'ambition est de définir un standard de sécurité, du moins d'images renforcées. Il n'est pas question ici de créer une image durcie (durcie dans le sens sécurité), c'est à dire, totalement sécurisée, mais réduire la surface d'attaque, réduire les CVE potentielles et proposer par défaut un niveau de sécurité minimale. 

Docker propose ces images en licence Apache 2.0. Et elles sont maintenant accessibles gratuitement à tous les développeurs ! Depuis l'annonce des HDI, Docker indique que des grandes entreprises les déploient, par exemple Qualcomm. 

Les HDI reposent sur 3 principales : 

1 / une transparence sur la sécurité proposée by design

2 / migrer vers une HDI est un chantier à ne pas négliger ni construire une HDI. Docker utilise des fondations techniques connues et reconnues

3 / proposer des DHI pour les entreprises incluant la réduction des CVE en quelques jours

Désormais, Docker propose gratuitement les HDI pour les déploiements, l'exécution, le partage et les builds. Actuellement, une image DHI repose sur Alpine ou Debian. Bien entendu, selon Docker, son DHI est meilleur que la concurrence...

Il faut penser à déployer les images dhi et non une image "standard" : FROM dhi.io/node:24 et non FROM node:24 dans le Dockerfile

3 niveaux de DHI sont proposés :

DHI : proche du 0 CVE, vérification de la provenance, visibilité sur la sécurité et les CVE, 100 % Apache 2.0

DHI Enterprise : fixation d'une CVE critique en -7 jours

DHI ELS : extension sur DHI Enterpsie