本文回顾了 2025 年作为软件开发的关键一年,它标志着重心从优化 AI 模型转向优化整个系统。文章强调了涌现出的五个关键事实:首先,随着 AI 模型质量趋于一致,开发者生产力成为主要的竞争优势;其次,安全性从过滤模型输出演变为通过强化系统防护来遏制智能体的“影响范围”(blast radius);再次,AI 智能体由于推理飞跃和 MCP 等标准化工具,已从演示转变为执行实际操作工作;然后,容器仍然是——从应用程序到智能体任务——一切的通用执行层;最后,强化镜像(例如 Docker 强化镜像)成为新的安全开发起点。展望 2026 年,文章预测成功将取决于模型周边的基础设施,智能体将成为标准运行时目标,拥有强大的安全框架,通过标准化接口增加生态系统凝聚力,实现基础设施层信任,并重新强调“软件工程师”而非“AI 工程师”在构建安全和弹性系统中的作用。
Docker 宣布,其 Docker 加固镜像(DHI)——一套安全、极简化且生产就绪的容器镜像——现已在 Apache 2.0 许可下免费开源。此举旨在通过为容器化应用提供可信赖的基础,以应对日益升级的供应链攻击威胁。与可能隐藏漏洞的专有方案不同,DHI 提供了彻底的透明度,包括完整的软件物料清单(SBOM)、SLSA 3 级构建来源证明和透明的常见漏洞和暴露(CVE)评估。DHI 基于 Alpine 和 Debian 等熟悉的开源基础构建,旨在简化采用,并包含用于迁移的 AI 助手等功能。虽然核心 DHI 免费提供,但 Docker 为受监管行业、增强合规性、快速补丁服务水平协议(SLA)和扩展安全覆盖提供了商业选项——DHI 企业版和扩展生命周期支持(ELS)。此举反映了 Docker 早期对开源官方镜像的承诺,并得到了包括谷歌、MongoDB 和云原生计算基金会(CNCF)在内的日益壮大的合作伙伴生态系统的支持,目标是共同提高全行业软件供应链安全水平。
本文详细介绍了 Docker 与 SRLabs 合作,对 Docker Hardened Images (DHI) 进行独立安全验证的过程。灰盒安全评估侧重于 DHI 的构建、签名、扫描和分发流程,确认其符合 SLSA 构建级别 3 的溯源性 (provenance) 和 Cosign 签名,提供了可验证的审计追踪。SRLabs 强调了 Docker 快速的 7 天补丁服务等级协议 (SLA) 和有效的最小化策略,与传统镜像相比,这两者显著减少了攻击向量。评估没有发现任何关键或高危漏洞,仅识别出与行业普遍挑战相关的中等残余风险,并赞扬了 Docker 以安全优先的文化及其对评估结果的响应。Docker 正积极解决 SRLabs 的建议,例如将签名密钥迁移到硬件安全模块 (HSM) 和改进离线环境的保护。目前已计划进行一次全面的白盒安全评估。文章还引用了一项调查,该调查显示使用 Docker 的组织在漏洞检测、策略合规性和在整个软件开发生命周期 (SDLC) 中实现安全目标方面满意度很高。
