Aplicações nas mais variadas stacks vêm sofrendo cada vez mais com ataques de supply-chain, com vários incidentes de packages maliciosos que foram adicionados de forma inadvertida a dependências de um projeto, vulnerabilidades reportadas em pacotes e imagens Docker, dentre outras variações relacionadas a esses tipos de ocorrências. A própria OWASP Top 10 em sua versão mais atualizada (2025) lista ataques de supply-chain na 3a posição:

https://owasp.org/Top10/2025/0x00_2025-Introduction/

Press enter or click to view image in full size

Considerando especificamente o mundo das aplicações/serviços containerizados e uma necessidade em maior segurança dentro do mundo corporativo, a Docker, Inc lançou ainda no mês de Maio/2025 um novo serviço: Docker Hardened Images (DHI)… Trata-se de uma solução com um amplo catálogo de imagens e charts Helm (atualmente +1000), artefatos estes otimizados visando uma maior segurança:

Tais otimizações incluem uma menor superfície de ataque a partir do uso de distribuições baseadas em Alpine ou Debian, passando também pela remoção de componentes que não sejam essenciais nestas imagens. Há ainda um esforço contínuo em se reduzir ao máximo o número de CVEs (Common Vulnerabilities and Exposures) em tais imagens, de forma a garantir uma maior segurança na utilização das mesmas.

Tivemos uma ótima notícia envolvendo Docker Hardened Images nesta no dia 17/12/2025 (uma quarta-feira) -> o uso de DHI passou a ser gratuito, estando sob a licença Apache 2.0 e possibilitando uma maior segurança a aplicações containerizadas desde o estágio de build:

https://www.docker.com/blog/docker-hardened-images-for-every-developer/

Press enter or click to view image in full size

De qualquer forma, existirá ainda uma camada paga (Enterprise) com recursos mais avançados e que acabam por ir além dos oferecidos como uma alternativa open source.