ハードニングされたセキュアイメージ

Docker Hardened Images（DHI）は、コンテナ化されたアプリケーションに対して堅牢なセキュリティ基盤を提供するよう設計されており、進化し続けるソフトウェアサプライチェーンのセキュリティ課題に対応しています。

ほぼゼロの脆弱性と非 root 実行

各 DHI は、既知の脆弱性を排除するために入念に構築されており、継続的なスキャンと更新によって CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）をほぼゼロに抑えています。

また、最小権限の原則に従い、DHI はデフォルトで非 root ユーザーとして実行され、本番環境における特権昇格攻撃のリスクを低減します。

DHI には、信頼性と透明性を確保するための複数のセキュリティメタデータが組み込まれています：

SLSA Level 3 準拠: 各イメージには詳細なビルドプロビナンス（由来情報）が含まれており、SLSA（Supply-chain Levels for Software Artifacts）フレームワークの要件を満たしています。
SBOM（ソフトウェア部品表）: イメージ内のすべてのコンポーネントを詳細に記載した SBOM が提供され、脆弱性管理やコンプライアンス監査を支援します。
VEX（Vulnerability Exploitability eXchange）文書: 各イメージには VEX ドキュメントが添付されており、既知の脆弱性に関する情報とその悪用可能性に関するコンテキストが提供されます。
暗号署名とアテステーション: すべてのイメージおよび関連メタデータは暗号的に署名されており、完全性と正当性を保証します。

DHI には、最小構成と開発者向けの両バリアントが用意されています：

ミニマルイメージ: distroless アプローチに基づいて構築されており、不要なコンポーネントを排除することで、攻撃対象領域を最大 95% 削減し、起動時間も高速化します。
開発用イメージ: 必要な開発ツールやライブラリが含まれており、安全な環境でのアプリケーションのビルドとテストを可能にします。