Без удобных инструментов любая «безопасность по умолчанию» остаётся слайдом на конференции. В мире Docker мне особенно пригодились две вещи: сканер Docker Scout и укреплённые базовые образы. Расскажу, как они встают в реальный рабочий процесс.
Docker Scout разбирает образ по слоям, собирает по нему перечень всех компонентов. По сути, SBOM, собирает спецификацию состава ПО и сверяет его с постоянно обновляемой базой уязвимостей, подтягивая данные из десятков источников-адвизори. На выходе вы видите не абстрактное «всё плохо», а конкретные CVE с оценкой серьёзности и, что для меня важнее всего, подсказкой, исправима ли уязвимость в принципе. В корпоративной среде это золото: команда безопасности сразу понимает, какой риск несёт образ, и решает — терпимо это или нет.
Мы все любим командную строку, но иногда и графика к месту, и Scout живёт сразу в обеих средах. Разработчик может быстро глянуть сводку прямо в терминале (docker scout quickview покажет общую картину, docker scout cves — полный список), а может открыть полный отчёт в Docker Desktop, со ссылками и пояснениями к каждой находке. Отдельно ценю команду recommendations: она не просто ругается, а подсказывает, на какой базовый образ перейти, чтобы одним движением закрыть пачку CVE. А compare наглядно показывает, стало ли после правок лучше — было «2 критических», стало «0».
В пайплайне Scout удобно ставить воротами: флаг проверки на выходе роняет сборку, если нашлись уязвимости нужного уровня, так что сырой образ просто не уедет дальше. А ещё он умеет непрерывно переоценивать уже отсканированные образы по мере появления новых данных — то есть вчера чистый образ сегодня сам поднимет руку, если про него выяснилось что-то новое. Из честных оговорок: бесплатный тариф ограничивает число репозиториев под постоянный анализ, так что под реальную команду стоит заранее свериться с актуальными лимитами на сайте Docker. Но как способ встроить безопасность прямо в привычный рабочий цикл, без отдельной тяжёлой платформы, Scout заходит отлично.
Большинство из нас начинает Dockerfile со строчки вроде FROM node или FROM python — и вместе с удобством тащит в проект целый дистрибутив с шеллами, пакетными менеджерами и сотней бинарников, которые приложению в проде не нужны вовсе. Это и есть тот самый «налог на безопасность»: лишние компоненты — лишняя поверхность атаки и бесконечная усталость от CVE.
Docker Hardened Images (DHI) бьют ровно по этой проблеме. Это минималистичные, собранные из исходников образы по принципу distroless: в них оставлено только то, что нужно для запуска приложения, благодаря чему поверхность атаки урезается до 95%. Их непрерывно пересобирают и патчат, удерживая число известных уязвимостей около нуля; каждый образ снабжён подписанным SBOM, VEX-данными, криптоподписью и provenance уровня SLSA Build Level 3, а в основе лежат привычные Alpine и Debian — так что переезжать можно почти без переделок. Внутренний пример самого Docker показателен: замена обычного образа Node на укреплённый обнулила уязвимости и срезала число пакетов более чем на 98%.
С точки зрения инженера ценность тут даже не в цифрах, а в том, что кто-то взял на себя самую неблагодарную работу. Держать образы в актуальном и безопасном состоянии вручную — это боль, которая только растёт, когда разработчики каждый день просят свежие версии. С укреплёнными образами я отдаю команде последние версии популярных решений и разгружаю безопасников от вечной починки базовых слоёв. И ещё деталь, которая многое меняет: с конца 2025 года полный каталог DHI — это уже тысячи образов — стал бесплатным и открытым под лицензией Apache 2.0, так что попробовать его может и крупное предприятие, и одиночка с пет-проектом, и опенсорс-мейнтейнер. Базовые образы, которым можно доверять, делают облако безопаснее для всех сразу.
Базовый образ задаёт безопасность вашего приложения с самого первого слоя. Так почему этот слой до сих пор выбирается по привычке, а не осознанно?
К безопасности можно прийти десятком разных дорог, но вывод у всех один: она не должна замедлять инженеров. Наша задача — спроектировать контроли так, чтобы они закрывали все углы, затыкали найденные дыры и при этом оставляли разработчикам возможность быстро писать код. Не выбирать между скоростью и защитой, а получить и то и другое.
Если свести всё к одной картинке — мы строим не шлагбаум, который опускается перед каждым релизом и заставляет команду нервно ждать, а перила вдоль трассы. Их почти не замечаешь, пока едешь ровно; но в момент, когда занесёт, именно они не дадут улететь в кювет. Хорошие артефакты, проверки в пайплайне, аккуратные файлы сборки, живой процесс управления уязвимостями и здоровая инженерная культура — это и есть те самые перила. А Docker Scout и укреплённые образы делают их прочными, не превращая в забор.
Так что в понедельник, когда в чат снова прилетит: «прод не катится, сканер ругается», у меня есть выбор: стать стеной — или стать тем, кто заранее постелил команде безопасную дорогу. Я давно выбрал второе. Подарите своим инженерам лучшее из обоих миров — и безопасность, и скорость.
Автор: Коробов Алексей
© Коробов А.Е., 2026
