Docker Hardened Images Kini Open Source dan Gratis untuk Semua Developer

Docker resmi membuka akses penuh terhadap Docker Hardened Images (DHI) dengan menjadikannya open source dan tersedia gratis bagi seluruh pengembang perangkat lunak. Lebih dari 1.000 image Docker yang sebelumnya ditawarkan secara komersial kini dapat digunakan tanpa biaya, dengan lisensi Apache 2.0 yang memberikan fleksibilitas penuh dalam penggunaan dan pengembangan.

Docker sendiri dikenal sebagai platform populer yang memungkinkan pengembang membangun, menguji, dan menerapkan aplikasi secara cepat melalui container. Pendekatan ini memastikan lingkungan aplikasi yang konsisten dan dapat direproduksi di berbagai sistem, sekaligus menyederhanakan proses pengelolaan dependensi.

Docker Hardened Images pertama kali diperkenalkan pada Mei lalu sebagai image dasar Docker yang aman, minimal, dan siap digunakan di lingkungan produksi. Seluruh image ini dikelola langsung oleh Docker dengan tujuan utama mengurangi permukaan serangan serta risiko rantai pasok pada lapisan container.

DHI dirancang tanpa akses root, telah dipangkas dari komponen yang tidak diperlukan, bebas dari kerentanan yang diketahui, serta mendukung standar Vulnerability Exploitability eXchange (VEX) untuk manajemen keamanan yang lebih efisien. Selain itu, Docker sebelumnya menjamin pembaruan keamanan untuk kerentanan baru pada komponen DHI dalam waktu maksimal tujuh hari sejak pengungkapan.

Pada Oktober lalu, Docker sempat mengumumkan pembukaan akses tak terbatas ke seluruh katalog DHI bagi semua tim pengembang, disertai uji coba gratis selama 30 hari untuk pelanggan. Namun, kebijakan tersebut kini diperluas dengan menghapus status komersial DHI sepenuhnya dan menjadikannya tersedia tanpa langganan bagi seluruh komunitas pengembang.

Docker menyebut langkah ini sebagai upaya menetapkan standar industri baru. Dengan menjadikan DHI open source dan gratis, Docker ingin menyediakan fondasi container yang aman, minimal, dan siap produksi sejak tahap awal penggunaan, tanpa kejutan lisensi di kemudian hari.

Meski tersedia gratis, Docker menegaskan bahwa kualitas keamanan DHI tetap dipertahankan. Seluruh image masih dapat diverifikasi melalui Software Bill of Materials (SBOM), build yang digunakan memenuhi standar SLSA Build Level 3, dan setiap image dilengkapi dengan bukti keaslian.

Namun demikian, komitmen pembaruan kritis dalam waktu tujuh hari untuk kerentanan CVE tetap menjadi fitur eksklusif pada paket komersial DHI Enterprise. Pengguna versi gratis tetap akan menerima pembaruan keamanan, meskipun tanpa jaminan waktu tertentu. Docker juga menyatakan ambisinya untuk memangkas waktu perbaikan pada DHI Enterprise hingga satu hari atau bahkan kurang. Paket komersial ini juga menawarkan fleksibilitas tambahan, seperti modifikasi image, konfigurasi runtime, dan pemasangan alat tambahan.

Dengan perubahan ini, Docker memperluas akses terhadap image container yang aman dan siap produksi, sekaligus mendorong adopsi praktik keamanan yang lebih baik di seluruh ekosistem container global.