Die Frustration war der Ausgangspunkt: Advait Patel, der Initiator von DockSec, stellte fest, dass ein einzelner Container-Scan leicht 200 oder mehr CVEs offenbaren kann. “Die meisten sind rauschen, einige wenige sind real, aber es gibt keine einfache Möglichkeit, einem Entwickler zu sagen: ‚Behebe diese drei Zeilen und du bist fertig’”, erklärt Patel das Kernproblem. Security-Tools sind hervorragend darin, Probleme zu erkennen, aber schlecht darin, Menschen beim Beheben zu helfen.
Die Konsequenzen sind beträchtlich: Patel scannte 15 Images und fand 183 Schwachstellen mit hohem Severity-Rating und 15 kritische. Sogar HashiCorp Vault, ein speziell für die Sicherung von Secrets entwickeltes Tool, wurde mit 40 Schwachstellen in seinem eigenen Image ausgeliefert. Wenn solche Vulnerabilities in Docker-Images verbleiben, werden sie automatisch ausgeführt – potentiell auch in CI/CD-Pipelines. Für deutsche Unternehmen bedeutet das nicht nur technisches Risiko, sondern auch regulatorische Konsequenzen: Verstöße gegen die DSGVO können Bußgelder bis zu 4 Prozent des Jahresumsatzes nach sich ziehen.
DockSec löst das Problem nicht durch einen weiteren Scanner, sondern durch intelligente Aggregation. Das Tool lässt Trivy, Hadolint und Docker Scout lokal laufen, nutzt dann ein Large Language Model (LLM) zur Korrelation der Findings, um Duplikate zu entfernen und nach echtem Impact zu priorisieren. Das Scan-Metadata wird zum LLM gesendet, nicht aber der Bildinhalt selbst – ein wichtiger Punkt für datenschutzbewusste Organisationen. Entwickler wählen zwischen OpenAI, Anthropic, Google Gemini oder lokalen Modellen via Ollama.
Das Ergebnis: verständliche englische Erklärungen und exakte Dockerfile-Fixes im Markdown-Format. Seit der Adoption durch OWASP als offizielles Inkubatorprojekt hat DockSec an Momentum gewonnen – über 18.000 Downloads, 90 Pull Requests, und ein wachsendes Ökosystem von Kontributoren. Patel betont, dass dies ein Designprinzip mit breiterem Potenzial ist: “DockSec ist eine Brücke zwischen Erkennung und Behebung. Viele Tools scannen Ihren Code, Ihre Architektur, Ihre Infrastruktur. Wenige führen zur Remediation. Diese Methode kann auf andere Bereiche übertragen werden.”
Für deutsche Sicherheitsteams und Entwickler bietet DockSec eine praktische Antwort auf eine zunehmende Herausforderung: Wie lässt sich die Vulnerabilty-Hygiene im schnellen Entwicklungszyklus aufrechterhalten?