Docker 推出了一系列专为生产用途而设计的以安全为中心的新基础镜像，旨在减少漏洞并支持跨容器化应用程序的安全软件供应链。

Docker 强化镜像 (DHI) 是一组使用无发行版 (Distroless) 方法从源代码构建的精选极简镜像。通过移除 shell、包管理器和其他不必要的组件，这些镜像旨在显著减少容器化工作负载的攻击面。

Docker 表示，与传统基础镜像相比，强化镜像可将漏洞占用空间减少高达95% 。每个镜像都通过自动修补和持续安全更新进行维护，目标是将已知 CVE 数量降至接近零。严重和高危漏洞将在七天内修复，并由明确的服务级别协议提供支持。

这些强化镜像旨在替代 Alpine 和 Debian 等热门基础镜像。Docker 致力于确保与现有 Dockerfile 的兼容性，以最大程度地减少构建管道的中断。自定义层允许团队在安全基础之上添加自己的证书、软件包和配置文件。

DHI 镜像还包含已签名的软件物料清单 (SBOM) 和来源元数据，有助于提高透明度和供应链可视性。这些功能对于在受监管行业或安全敏感环境中运营的团队尤其重要，因为这些环境中更注重额外的保证和可追溯性。

Docker 已宣布早期集成合作伙伴，包括 Microsoft、GitLab、JFrog、NGINX、Sysdig、Wiz 和 Sonatype。这些合作旨在确保 DHI 与流行的安全和 CI/CD 工具无缝协作。

Docker 内部测试报告显示，将标准 Node.js 镜像替换为强化版本后，安装软件包数量减少了 98%，并消除了已知的 CVE（漏洞漏洞）。初始版本包含针对常见运行时（包括 Python、Go 和 Java）的强化镜像。

DHI 现已通过 Docker Hub 提供，访问权限由 Docker 的订阅等级决定。安装文档和自定义工具已包含在新版本中。