Docker宣布此前于5月推出的Docker安全强化镜像（Docker Hardened Images，DHI）改为免费开源，并采用Apache 2.0许可证发布。Docker表示，这是对容器基础镜像的安全默认配置进行优化，旨在让开发团队在首次拉取镜像时，即可获得更小的攻击面和更完整的可验证信息。

Docker将DHI定位为容器基础镜像的安全默认选项，同时强调透明度：每个镜像均提供可验证的软件物料清单（SBOM）、SLSA第3级构建来源证明（Provenance），并基于公开的CVE数据进行漏洞披露与评估。Docker还指出，不会为了使漏洞扫描器显示“绿色”而隐瞒漏洞，即使补丁仍在开发中，也会保持公开透明。

DHI采用无发行版（Distroless）运行环境来缩小攻击面，同时保留开发与运行常见工作负载所需的基本工具。Docker要求镜像的组成、构建过程、签名和漏洞状态均能被外部检查与验证。官方称，相较于普通镜像，DHI可显著降低CVE数量，镜像体积最高可缩减95%。

DHI基于Alpine和Debian构建，强调高兼容性与低迁移成本。官方还提到，Docker的实验性AI助手可扫描现有容器，并推荐对应的强化镜像，该功能目前仍处于实验阶段。

Docker为DHI提供三层服务，以满足不同合规与运维需求：免费开源版本提供无限制使用的基础强化镜像；DHI Enterprise面向合规要求高或敏感行业，主打关键CVE在7天内修复的服务承诺，并提供符合FIPS等标准的镜像版本及更多定制能力；延长生命周期支持（ELS）作为Enterprise的附加选项，即使上游停止支持，仍可继续获得最多5年的安全补丁与可审计数据更新，以满足扫描、审计与合规框架对可验证修复的需求。

Docker将安全强化的范围从基础镜像扩展至Kubernetes与代理类应用相关组件。原有的Hardened Helm Charts已帮助用户在Kubernetes环境中采用DHI，此次新增Hardened MCP Servers，率先提供MongoDB、Grafana和GitHub等常用MCP服务器的强化版本，并规划后续将全面强化MCP服务器目录。