Docker DHI: arrivano le immagini container prive di vulnerabilità per progetti sicuri

Cosa sono le immagini Docker DHI: più di 1.000 container minimalisti e sicuri, completamente open source e gratuiti, progettati per ridurre vulnerabilità e garantire trasparenza nella supply chain software.
Michele Nasi
Pubblicato il 18 dic 2025
Docker DHI: arrivano le immagini container prive di vulnerabilità per progetti sicuri

I container sono diventati il percorso universale verso la produzione per la maggior parte degli sviluppatori e Docker ha da sempre guidato questo ecosistema. Con oltre 20 miliardi di pull mensili su Docker Hub e circa il 90% delle imprese che, a livello globale, ormai utilizzano container nei flussi di lavoro legati allo sviluppo software, Docker ha una responsabilità significativa: garantire la sicurezza della supply chain del software.

Perché la sicurezza dei container è critica

Gli attacchi alla supply chain software stanno crescendo in modo esponenziale. Solo nel 2025 hanno causato oltre 60 miliardi di dollari di danni, un valore triplicato rispetto al 2021.

Nessun linguaggio, ecosistema, build o fase di distribuzione è immune. Questo scenario ha spinto Docker a lanciare, a maggio 2025, Docker Hardened Images (DHI): una collezione di immagini minimaliste, sicure e pronte per la produzione. Da allora, sono state “hardenizzatepiù di 1.000 immagini e Helm chart nel catalogo Docker.

Docker immagini sicure container

Ogni immagine o chart è stata verificata e modificata per ridurre al minimo le vulnerabilità, applicare impostazioni di sicurezza sane, rimuovere componenti inutili o insicuri, e garantire trasparenza e compliance. Non si tratta solo di Dockerfile “puliti”, ma di immagini già ottimizzate e sicure per l’uso in produzione, pronte per essere utilizzate senza dover fare interventi manuali approfonditi sulla sicurezza.

Helm è il gestore di pacchetti più usato per Kubernetes, il sistema di orchestrazione dei container; un Helm chart è un pacchetto preconfigurato che contiene le definizioni dei container da eseguire, le configurazioni di rete, storage e volumi, le regole di sicurezza, come limiti di risorse e permessi.

Usando un Helm chart, gli sviluppatori possono installare e configurare applicazioni complesse su Kubernetes in modo semplice e ripetibile, senza scrivere manualmente decine di file YAML.

Caratteristiche principali di DHI

Oggi, Docker fa un passo storico, rendendo DHI completamente open source e gratuito, disponibile per tutti i 26 milioni di sviluppatori dell’ecosistema container. Le immagini DHI sono basate su licenza Apache 2.0, utilizzabili, condivisibili e modificabili senza restrizioni legali. Con DHI, ogni sviluppatore può partire da una base sicura e minimale già dal primo pull:

  • Trasparenza totale: ogni immagine include un SBOM completo (il Software Bill of Materials è l’elenco completo di tutti i componenti software presenti in un’immagine o applicazione, con le loro versioni e dipendenze), provenance SLSA Build Level 3 (tracciabilità completa della build: per ogni immagine o software, si può sapere chi l’ha costruita, quando, con quali sorgenti e dipendenze, e se la build è stata eseguita in un ambiente sicuro) e una valutazione delle vulnerabilità basata su dati CVE pubblici. Docker non nasconde vulnerabilità non risolte.
  • Compatibilità con Alpine e Debian: DHI mantiene le fondamenta open source familiari agli sviluppatori, riducendo al minimo le frizioni nell’adozione.
  • Riduzione dei CVE: le immagini DHI Enterprise garantiscono quasi zero CVE (le immagini DHI sono “pulite” e sicure, con quasi nessuna vulnerabilità nota), con dimensioni fino al 95% più ridotte rispetto alle immagini tradizionali.
  • Hardened Helm Charts e MCP Server: oltre alle immagini, Docker ha creato Helm Chart e server MCP sicuri (Mongo, Grafana, GitHub), estendendo i principi di sicurezza all’intera infrastruttura applicativa.

Perché DHI è un punto di svolta

Le aziende che hanno già adottato DHI, come Adobe e Qualcomm, hanno scelto Docker per garantire compliance e sicurezza a livello enterprise. Startup come Attentive e Octopus Deploy hanno accelerato l’adozione di standard di sicurezza elevati, facilitando l’accesso a mercati più grandi.

A differenza di altre immagini proprietarie, DHI è trasparente e verificabile, riduce drasticamente le vulnerabilità e mantiene impostazioni sicure di default senza compromettere fiducia e trasparenza.

Inoltre, grazie a partnership con Google, MongoDB, CNCF, Snyk e JFrog Xray, DHI si integra nell’intero ecosistema di sicurezza, creando una supply chain uniforme e sicura per l’intera industria.

Dove si trovano le immagini DHI

Le immagini DHI sono pubblicate su Docker Hub, il repository ufficiale di Docker, e su eventuali registri aziendali che supportano DHI.

Solitamente hanno un repository dedicato, separato dalle immagini standard, per evidenziare che si tratta di immagini “hardenizzate“. Esempio indicativo: docker/dhi o docker/hardened. Molte immagini DHI hanno il suffisso -hardened nel nome o nei tag.

Ti consigliamo anche

“L’AI non deve scrivere Linux”: Linus Torvalds spiega dove l’intelligenza artificiale funziona davvero
Business

“L’AI non deve scrivere Linux”: Linus Torvalds spiega dove l’intelligenza artificiale funziona davvero
Perché Windows 11 sta consumando gigabyte di RAM con Discord, Teams e WhatsApp?
Windows

Perché Windows 11 sta consumando gigabyte di RAM con Discord, Teams e WhatsApp?
React2Shell: falla critica che minaccia migliaia di app Next.js. Il tuo server è al sicuro?
Business

React2Shell: falla critica che minaccia migliaia di app Next.js. Il tuo server è al sicuro?
30 anni di JavaScript: il linguaggio che ha trasformato il Web
Business

30 anni di JavaScript: il linguaggio che ha trasformato il Web
Link copiato negli appunti