Docker의 Hardened Images(DHI) 가 이제 모두에게 무료로 제공됨
규제 산업(은행, 보험, 정부 기관 등)에서는 이런 보안 강화 이미지에 관심이 많을 것 같음
예전에 무료 레지스트리를 유료로 전환했던 사례 이후로, Docker의 무료 정책을 신뢰하기 어려움
업계 전반에 bait and switch 패턴이 너무 흔해짐
VulnFree CEO로서 보기에, 이번 발표는 단순한 마케팅 전략으로 보임
Chainguard의 성장세가 Docker보다 훨씬 크고, Docker는 그 흐름을 따라잡으려는 듯함
이미지를 pull하려 했는데 401 에러가 발생했음. 로그인 필요? 무료라기엔 이상한 접근 방식임
로그인 게이트가 걸려 있어서 시도조차 하기 싫어졌음. 불필요한 마찰임
이 발표문 자체가 LLM이 생성한 것 같은 느낌을 받음
Bitnami/VMWare/Broadcom의 Helm 차트 중단에 대한 Docker의 대응으로 보임
아마도 Chainguard의 급성장에 대한 반응일 것 같음. AI가 아닌 보안 이미지 분야에서 VC들이 수억 달러를 투자하고 있음
나도 그렇게 생각함
처음 봤을 때, 이건 단순히 교체 가능한 솔루션이 아님
로그인 요구가 있고, PAT(personal access token) 이 개인 계정에 묶여 있음
스타트업 입장에서는 엔터프라이즈 플랜 문의할 이유가 없음
CICD 환경 없이 로컬 개발용으로만 쓸 수 있다면 실용성이 떨어짐
Docker for Teams는 월 15달러 수준이고, 엔터프라이즈 하든드 이미지는 오프라인 미러링이나 규제 대응용으로 별도임
CVE 하든드 이미지의 핵심 가치는 규모에서의 신뢰성임. 팀 단위로 직접 스캔·패치하는 건 현실적으로 어렵기 때문임
하든드 이미지 시장이 포화 상태로 보임
Kubecon에서도 최소 3개 회사가 같은 서비스를 제공하고 있었음
Chainguard가 처음 시장을 열었고, 0 CVE 이미지로 스타트업 보안 심사를 통과시키는 데 큰 도움이 되었음
하지만 Minimus, Ironbank 등 경쟁자가 늘어나고 있음. 생태계에는 긍정적이지만, 시장이 그만큼 크진 않을 수도 있음
진짜 문제는 시장 포화가 아니라, Docker가 무료로 제공하면 시장 자체가 사라질 수도 있음
Chainguard는 VM 이미지나 언어별 리포지토리로 확장 중이지만, 규제 산업 외에 유료 수요가 얼마나 있을지는 의문임
Docker가 무료로 제공하면 진입 장벽이 낮아져서 시도해보기 쉬움
Ironbank 이미지는 DoD 외 조직도 사용할 수 있음. 계정만 등록하면 됨
VulnFree CEO로서, Chainguard가 가장 먼저 시작했는지는 모르겠지만, 여전히 미충족 수요가 존재함
Ironbank는 사실 Chainguard보다 먼저 이런 걸 했음. 하지만 품질이 낮았고, 컨테이너를 자주 깨뜨리는 문제가 있었음
glibc 버전 차이로 세그폴트가 나는 등, 하든드 과정이 단순히 바이너리 복사 수준이었음
정부나 규제 산업에서는 여전히 수요가 크지만, 독립 사업으로는 지속 가능성이 낮음
Chainguard는 창업자 명성 덕분에 버티는 느낌이고, 결국 리눅스 배포판 비즈니스 모델과 유사함
리눅스 배포판을 이미 운영 중인 기업이라면 이런 서비스는 자연스러운 확장임
Docker 직원으로서, 보안 기본값(secure-by-default) 을 모든 개발자의 출발점으로 만들고 싶음
모든 이미지에 VEX 문서와 attestations, 메타데이터를 포함시켜 투명성을 높였음
베이스 이미지뿐 아니라 MCP 서버 등 스택 전반으로 확장할 계획임
엔터프라이즈 티어에서는 지속 패치 SLA, FIPS 변형, 보안 커스터마이징 등을 유료로 제공함
이를 통해 커뮤니티에는 무료 카탈로그를 유지할 수 있음
예시로 든 PHP 이미지 스펙 의 Dockerfile 형식이 생소함
이걸 빌드할 수 있는 도구가 따로 있는지 궁금함
Docker의 무료 정책은 언제든 유료로 바뀔 수 있다는 불안감이 있음
예전의 Docker Desktop, Registry 사례가 그랬음
더 짜증나는 건, Docker가 자체 레지스트리 외 설정을 막았던 점임
그래서 Red Hat이 Podman을 만들었음
Bitnami가 무료 하든드 이미지를 중단한 시점과 Docker의 발표가 겹친 게 흥미로움
또 다른 “무료 후 유료 전환” 시나리오가 반복될까 걱정됨
Docker는 늘 VC 성장 전략을 따르는 듯함
무료로 생태계 확보
사용자 락인 후 유료화
수익화
우리 팀은 Bitnami 이미지에서 이미 인프라를 옮겼음. Docker는 더 이상 신뢰하지 않음
Docker가 유지해야 하는 빌드 스크립트가 꽤 복잡함
예: Traefik 빌드 YAML
반면 Nix는 이미 대부분의 소프트웨어를 패키징했고, 컨테이너화도 추가 작업 없이 가능함 재현 가능한 빌드와 대규모 캐시 인프라가 이미 존재함
Docker가 이 수준에 도달하려면 커뮤니티 없이 자체적으로 모든 걸 구축해야 함
오픈소스라더니, Traefik 하든드 이미지 의 소스 코드가 보이지 않음 카탈로그 YAML 은 단순 설정 파일일 뿐, 빌드 파일이 아님 dhi라는 도구가 필요한 것 같은데, 문서가 없음
오프라인 환경에서 직접 빌드할 수 없다면 진정한 오픈소스라고 보기 어려움
VulnFree CEO로서 보기에, Docker의 이번 발표는 Chainguard의 모멘텀을 견제하기 위한 마케팅임
이 분야는 혁신이 부족하고, 대부분 Chainguard의 모델을 변형한 수준임
Chainguard의 투자 유치 이후 VC들이 “보안 이미지” 시장에 몰려들었고, Bitnami는 유료화를 시도했으며, Docker는 그 공백을 무료 제공으로 메움
하지만 소스코드를 공개하지 않는 이유는 명확함 — 공개하면 진입 장벽이 사라지기 때문임
현재 가격대에서는 직접 빌드하는 게 더 저렴함
VulnFree는 맞춤형 하든드 이미지로 개발팀의 워크플로우에 맞춰주는 것이 진짜 가치임
Hacker News 의견들
Docker의 Hardened Images(DHI) 가 이제 모두에게 무료로 제공됨
규제 산업(은행, 보험, 정부 기관 등)에서는 이런 보안 강화 이미지에 관심이 많을 것 같음
업계 전반에 bait and switch 패턴이 너무 흔해짐
Chainguard의 성장세가 Docker보다 훨씬 크고, Docker는 그 흐름을 따라잡으려는 듯함
Bitnami/VMWare/Broadcom의 Helm 차트 중단에 대한 Docker의 대응으로 보임
처음 봤을 때, 이건 단순히 교체 가능한 솔루션이 아님
로그인 요구가 있고, PAT(personal access token) 이 개인 계정에 묶여 있음
스타트업 입장에서는 엔터프라이즈 플랜 문의할 이유가 없음
CICD 환경 없이 로컬 개발용으로만 쓸 수 있다면 실용성이 떨어짐
CVE 하든드 이미지의 핵심 가치는 규모에서의 신뢰성임. 팀 단위로 직접 스캔·패치하는 건 현실적으로 어렵기 때문임
하든드 이미지 시장이 포화 상태로 보임
Kubecon에서도 최소 3개 회사가 같은 서비스를 제공하고 있었음
Chainguard가 처음 시장을 열었고, 0 CVE 이미지로 스타트업 보안 심사를 통과시키는 데 큰 도움이 되었음
하지만 Minimus, Ironbank 등 경쟁자가 늘어나고 있음. 생태계에는 긍정적이지만, 시장이 그만큼 크진 않을 수도 있음
Docker가 무료로 제공하면 진입 장벽이 낮아져서 시도해보기 쉬움
glibc 버전 차이로 세그폴트가 나는 등, 하든드 과정이 단순히 바이너리 복사 수준이었음
정부나 규제 산업에서는 여전히 수요가 크지만, 독립 사업으로는 지속 가능성이 낮음
Chainguard는 창업자 명성 덕분에 버티는 느낌이고, 결국 리눅스 배포판 비즈니스 모델과 유사함
리눅스 배포판을 이미 운영 중인 기업이라면 이런 서비스는 자연스러운 확장임
Docker 직원으로서, 보안 기본값(secure-by-default) 을 모든 개발자의 출발점으로 만들고 싶음
모든 이미지에 VEX 문서와 attestations, 메타데이터를 포함시켜 투명성을 높였음
베이스 이미지뿐 아니라 MCP 서버 등 스택 전반으로 확장할 계획임
엔터프라이즈 티어에서는 지속 패치 SLA, FIPS 변형, 보안 커스터마이징 등을 유료로 제공함
이를 통해 커뮤니티에는 무료 카탈로그를 유지할 수 있음
이걸 빌드할 수 있는 도구가 따로 있는지 궁금함
Docker의 무료 정책은 언제든 유료로 바뀔 수 있다는 불안감이 있음
예전의 Docker Desktop, Registry 사례가 그랬음
예: Google G Suite 무료 계정 중단 집단소송
그래서 Red Hat이 Podman을 만들었음
Bitnami가 무료 하든드 이미지를 중단한 시점과 Docker의 발표가 겹친 게 흥미로움
또 다른 “무료 후 유료 전환” 시나리오가 반복될까 걱정됨
Docker는 늘 VC 성장 전략을 따르는 듯함
Docker가 유지해야 하는 빌드 스크립트가 꽤 복잡함
예: Traefik 빌드 YAML
반면 Nix는 이미 대부분의 소프트웨어를 패키징했고, 컨테이너화도 추가 작업 없이 가능함
재현 가능한 빌드와 대규모 캐시 인프라가 이미 존재함
Docker가 이 수준에 도달하려면 커뮤니티 없이 자체적으로 모든 걸 구축해야 함
오픈소스라더니, Traefik 하든드 이미지 의 소스 코드가 보이지 않음
카탈로그 YAML 은 단순 설정 파일일 뿐, 빌드 파일이 아님
dhi라는 도구가 필요한 것 같은데, 문서가 없음오프라인 환경에서 직접 빌드할 수 없다면 진정한 오픈소스라고 보기 어려움
VulnFree CEO로서 보기에, Docker의 이번 발표는 Chainguard의 모멘텀을 견제하기 위한 마케팅임
이 분야는 혁신이 부족하고, 대부분 Chainguard의 모델을 변형한 수준임
Chainguard의 투자 유치 이후 VC들이 “보안 이미지” 시장에 몰려들었고, Bitnami는 유료화를 시도했으며, Docker는 그 공백을 무료 제공으로 메움
하지만 소스코드를 공개하지 않는 이유는 명확함 — 공개하면 진입 장벽이 사라지기 때문임
현재 가격대에서는 직접 빌드하는 게 더 저렴함
VulnFree는 맞춤형 하든드 이미지로 개발팀의 워크플로우에 맞춰주는 것이 진짜 가치임