Docker et Chainguard s’écharpent sur fond de gratuité des images de conteneurs durcies

Docker généralise la gratuité de ses images durcies

Docker a lancé les images renforcées en mai, mais il n’est pas seul. Il compte plusieurs concurrents dans ce domaine de niche. Les images durcies sont des instances minimales de conteneurs qui suppriment la plupart des progiciels standard, ainsi que la plupart des vulnérabilités de sécurité connues. Le catalogue gratuit comprend également des versions durcies des serveurs Model Context Protocol utilisés pour relier les agents IA aux outils et aux sources de données.

Des fournisseurs tels que ActiveState, BellSoft, Broadcom, Cloudsmith, Echo, Lineaje, Minimus, RapidFort, Red Hat, Seal Security, SUSE et Wiz proposent des images renforcées. Tout comme l’Iron Bank de l’armée de l’air américaine. Mais Docker fait spécifiquement référence à Chainguard. C’est l’acteur qui a établi le marché des images durcies. Il a récemment orchestré une levée de fonds de 280 millions de dollars.

« Docker impose une réinitialisation de la sécurité dans le secteur », selon un e-mail envoyé par un porte-parole de Docker. « Grâce à l’envergure de Docker, cette initiative renforce efficacement les normes de sécurité pour des millions de développeurs et exerce une réelle pression sur les fournisseurs dont l’activité principale est la vente de solutions de durcissement. »

Un hyperlien sur la phrase renvoyait directement à un article sur le financement de Chainguard.

Dans une interview accordée à Informa TechTarget [propriétaire du MagIT], Michael Donovan, vice-président des produits chez Docker, ajoute que la prolifération des éditeurs proposant des images de conteneurs renforcées a semé la confusion sur le marché. Docker vante son approche consistant à créer des images durcies à partir des distributions Linux existantes, Debian et Alpine. Selon lui, elles facilitent l’adoption sans modifier les workflows existants.

« Notre approche consiste à créer le moyen le plus transparent possible pour migrer vers des images renforcées », explique Michael Donovan. « C’est pourquoi notre catalogue est compatible avec plusieurs distributions [Linux]. C’est la norme qui doit être établie pour le secteur. »

Chainguard propose également un niveau gratuit pour ses images Chainguard, mais M. Donovan a critiqué son approche. Il ne proposerait gratuitement que la dernière version des images. Une pratique qu’il a qualifiée de « premier anti-modèle dans tout déploiement sécurisé ».

Micahael Donovan mentionne, par ailleurs, une modification apportée en août à l’offre gratuite de Chainguard. Son concurrent a réduit le nombre d’images disponibles gracieusement. Un changement qualifié de « coup bas » pour les clients.

Docker Hardened Images nécessitait auparavant un abonnement supplémentaire. Son prix n’a jamais été divulgué publiquement. Docker Hardened Images propose désormais deux nouveaux niveaux payants.

Docker Hardened Images Enterprise comprend un accord de niveau de service garantissant que les CVE critiques seront corrigées en moins de sept jours, avec des correctifs le jour même prévus dans la feuille de route. La version payante intègre également une assistance pour la personnalisation des images et les images conformes à des normes et réglementations spécifiques.

Un autre service complémentaire, Extended Lifecycle Support, offre la correction des CVE et l’application de correctifs pour les images durcies cinq ans après leur date de fin de vie en amont. Les tarifs de Docker Hardened Images Enterprise et Extended Lifecycle Support ne sont pas non plus accessibles publiquement.

Michael Donovan assure que la demande pour Docker Hardened Images est forte depuis son lancement en mai. Et de citer Adobe et Attentive comme premiers utilisateurs. Il a toutefois refusé de divulguer le nombre total de clients de Docker pour Hardened Images.

Chainguard et les analystes du secteur réagissent à l’actualité de Docker

Dan Lorenc, fondateur et PDG de Chainguard, a répondu à la critique de Docker concernant la modification de son offre gratuite. Il déclare que les images renforcées les plus couramment utilisées restent gratuites pour les clients de Chainguard. De plus, la société a mis à jour ses conditions d’abonnement afin d’y inclure l’intégralité de son catalogue. Dan Lorenc conteste par ailleurs l’affirmation de M. Donovan selon laquelle il faut utiliser la dernière version de l’image de conteneurs. « En réalité, la mise à jour vers la dernière version est une bonne pratique en matière de sécurité », remarque-t-il. Chainguard prend également en charge les anciennes versions des images dans le cadre de son produit payant.

M. Lorenc a fait valoir que les images créées à partir de zéro par Chainguard sont plus sécurisées que « le mélange et l’association de composants d’autres images ». C’est ce que fait Docker, selon lui.

« Si j’étais utilisateur, je serais assez prudent à l’égard de cette initiative de Docker », rétorque Dan Lorenc. « Son modèle économique repose sur le client Docker Desktop, qu’il a distribué gratuitement pendant des années avant de commencer à le facturer ».

Selon une analyste du secteur, toute initiative visant à faciliter l’adoption de pratiques de sécurité dans la chaîne logistique des logiciels est une évolution positive.

« En mettant gratuitement à disposition une vaste collection d’images, Docker supprime bon nombre des obstacles qui limitent la facilité avec laquelle les développeurs peuvent explorer ou évaluer les images durcies », explique Katie Norton, analyste chez IDC. « Une plus grande exposition à ces artefacts offre aux équipes davantage d’occasions de comprendre à quoi ressemble une image renforcée dans la pratique et comment elle pourrait s’intégrer dans leurs workflows. »

Selon une étude réalisée par IDC, les images de conteneurs durcies ne sont pas la priorité des entreprises en matière de sécurité de la chaîne logistique logicielle. L’enquête « IDC DevSecOps and Software Supply Chain Security Survey » menée auprès de 511 répondants en juillet 2025 fait figure de faisceau de preuve. Seulement 8,8 % des répondants ont déclaré que les images de conteneurs renforcées et les logiciels open source fiables figuraient parmi leurs trois principales priorités en matière de dépenses pour la sécurité des applications et de la chaîne logistique logicielle au cours des 12 prochains mois.

Un autre analyste s’interroge sur le timing de la décision de Docker.

« Bien que l’accès gratuit soit intéressant, en particulier pour les développeurs qui utilisent Docker Desktop, pourquoi ne l’ont-ils pas fait lorsqu’ils ont lancé cette fonctionnalité plus tôt cette année ? », déclare Jason Andersen, analyste chez Moor Insights & Strategy.

Michael Donovan assure pour sa part que Docker s’est concentré sur l’élargissement de son catalogue d’images durcies avant de revoir sa tarification. « Cela a toujours été notre intention », avance-t-il.

Chainguard étend sa prise en charge de la sécurité open source

Chainguard a également lancé cette semaine un nouveau service appelé EmeritOSS. Celui-ci doit offrir un hébergement sécurisé aux projets open source matures et obsolètes. Il inclut Kaniko, un outil Google qui permet de créer des images de conteneurs à partir d’un fichier Dockerfile ; Kubeapps, une interface utilisateur web permettant de lancer des applications sur Kubernetes, initialement développée par VMware ; et ingress-nginx, un proxy inversé pour Kubernetes qui a été abandonné au profit de l’API Kubernetes Ingress. Le programme EmeritOSS va bifurquer chacun de ces projets et continuer à les développer et à les corriger pendant que les équipes opérationnelles qui en dépendent planifient leur migration vers d’autres outils.

Chainguard a créé des forks similaires pour ses clients dans une douzaine de cas jusqu’à présent, commente Dan Lorenc.

« Dans certains cas, nous maintenons la bifurcation à long terme », affirme-t-il. « Dans d’autres cas, nous l’avons simplement fait pendant deux ou trois mois jusqu’à ce qu’une nouvelle version communautaire apparaisse. […] Nos clients peuvent en quelque sorte ignorer tout ce désordre qui se passe en coulisses. Maintenant, grâce à l’automatisation avancée dont nous disposons, nous allons essayer de voir jusqu’où nous pouvons aller ».

Les forks EmeritOSS seront disponibles gratuitement sur un dépôt GitHub, sous forme de bloc de code. Les organisations qui souhaitent bénéficier d’une maintenance continue sur ces projets doivent utiliser la distribution commerciale, selon un billet de blog de Chainguard. L’éditeur ne publie pas non plus de chiffres précis concernant les tarifs.

Katie Norton, d’IDC, souligne que Chainguard avait déjà commencé à se diversifier au-delà des images de conteneurs renforcées avec l’ajout des bibliothèques et des machines virtuelles Chainguard au début de l’année.

« Parallèlement, à mesure que de nouveaux éditeurs font leur entrée sur le marché, la tarification reste un obstacle que Chainguard doit surmonter. La différenciation concurrentielle devient de plus en plus importante sur un marché en pleine expansion et de plus en plus encombré », ajoute-t-elle.