Et ce qui est top c'est que chaque image embarque un SBOM complet (le fameux Software Bill of Materials), des données CVE transparentes accessibles publiquement, une preuve cryptographique d'authenticité et une provenance SLSA Level 3. Bref, c'est plutôt sérieux de ce que je capte.

Car faut dire que les attaques sur la supply chain logicielle, c'est devenu le cauchemar numéro un des développeurs. En 2025, ces attaques auraient causé plus de 60 milliards de dollars de dommages selon les estimations, soit le triple d'il y a quatre ans, du coup, avoir des images béton dès le départ, sans devoir se prendre la tête à tout vérifier soi-même, ça fait la diff.

Maintenant, si vous êtes une grosse boîte avec des besoins spécifiques, Docker propose aussi une version Enterprise payante avec des SLA garantis sur la remédiation des CVE, des images compatibles FIPS, des options de personnalisation et même un support étendu de 5 ans après la fin du support officiel. Des entreprises comme Adobe et Qualcomm ont déjà fait le saut mais pour nous, utilisateurs lambdas et autres développeurs qui bossons sur nos projets perso ou des startups incroyables du futur, la version gratuite devrait largement suffire.

Et en cadeau bonux, sachez que l'assistant IA de Docker peut maintenant scanner vos conteneurs existants et vous recommander automatiquement les images durcies équivalentes. Y'a même des Hardened Helm Charts pour Kubernetes et des serveurs MCP durcis (MongoDB, Grafana, GitHub...). Que demande le peuple ?

Voilà, si vous voulez vous y mettre, tout est dispo sur le Docker Hub sans aucune restriction d'usage ni abonnement requis. Foncez !

Source