Docker公布新安全映像档（Docker Hardened Images，DHI）类型，以预设安全为核心设计，进一步提升企业生产环境的容器安全性。该功能主打精简映像档内容、减少攻击面，并强化自动化漏洞修补能力，目标是提供云端原生应用可靠的执行基础。

根据Docker官方说明，DHI并非仅仅对现有映像档进行瘦身或简化，而是採取自下而上的安全设计。映像档仅保留执行应用所需的最小相依元件，移除如Shell、套件管理工具及除错工具等非必要元件，使映像档的攻击面较传统基底映像档减少达95％。透过精简内容，不仅降低骇客入侵风险，同时也提升启动效率，让维护作业更为单纯。

在支援度方面，DHI相容于开发人员常用的Alpine、Debian等发行版，开发团队仅需于现有Dockerfile中调整基底映像档名称，即可升级至安全强化版本，无需大幅调整开发流程或更换既有工具。Docker同时强调，新映像档仍保有弹性，开发者可依需求安装必要套件、凭证或自订设定，在确保安全的前提下兼顾开发弹性。

DHI强调与多家安全与DevOps平台合作，包括微软、NGINX、Sonatype、GitLab、Wiz、Sysdig等，确保映像档能与现有的漏洞扫描工具、注册库及CI/CD流程顺利整合，方便团队导入并落实端到端的供应链安全控管。Docker也透过SLSA Build Level 3建置流程，确保映像档来源可追蹤，并附有完整验证机制。

针对企业关注的漏洞修补，DHI採自动化持续修补机制。Docker团队主动监控所有上游相依元件及作业系统套件的CVE资讯，当有重要安全更新时，映像档会自动重建并通过测试后发布。根据官方承诺，针对重大与高风险CVE，最快可在七天内完成修补并推送新版本，协助企业即时因应外部威胁，降低安全团队负担。

Docker表示已在公司内部多个专案导入DHI。以Node.js应用为例，仅透过调整映像档，即可将已知漏洞数降为零，套件数亦大幅减少98％，有效简化维运流程并降低潜在风险。