Die Schwierigkeit liegt laut Patel nicht im Finden der Schwachstellen, sondern darin, Entwicklern beim Beheben zu helfen. DockSec bringt deshalb keinen eigenen Scanner mit, sondern führt lokal die bestehenden Werkzeuge Trivy, Hadolint und Docker Scout aus.
Die neue Funktion setzt erst danach an: Ein großes Sprachmodell (LLM) gleicht die Befunde aller drei Scanner ab, entfernt Dubletten und ordnet sie nach tatsächlicher Auswirkung. Der Scan selbst läuft lokal; an das Sprachmodell gehen ausschließlich die Scan-Metadaten, niemals der Inhalt des Images.
Das eingesetzte Modell lässt sich wählen – etwa von OpenAI, Anthropic oder Google Gemini – oder über Ollama lokal betreiben. Seine Aufgabe ist es, verständliche Erklärungen in Alltagssprache und exakte Dockerfile-Korrekturen zu erzeugen, ausgeliefert über Markdown. Damit schließt DockSec nach Patels Darstellung die Lücke zwischen dem Erkennen und dem Beheben von Schwachstellen.
Patel ist Architekt und leitender Entwickler des Projekts, das er in seiner Freizeit ersonnen und gebaut hat. Es ist kostenlos nutzbar, und er verdient nichts daran. Die Aufnahme als OWASP-Inkubator-Projekt bezeichnet er als Wendepunkt: Zuvor sei es ein persönliches Projekt gewesen, das man über GitHub fand. Danach hätten Unternehmensteams es ernst genommen, weil es nun in einem vertrauenswürdigen, geprüften Umfeld stehe. Auch die Beiträge nahmen zu – mehr Pull Requests, bessere Fehlermeldungen, und Sicherheitsleute schlugen Funktionen vor, statt nur Fehler zu melden. Mit OWASP komme die Verpflichtung, das Projekt offen, herstellerneutral und in erster Linie für die Gemeinschaft nützlich zu halten.
Die Verbreitung wächst: Die Downloads nähern sich 18.000, die Zahl der Pull Requests liegt bei 90.
Für Patel ist DockSec mehr als ein einzelnes Werkzeug, nämlich eine übertragbare Entwurfsmethode für Bereiche, in denen KI zwar die Probleme findet, aber beim Beheben nicht hilft. Es gebe zahllose Werkzeuge, die als Scanner Lücken aufdecken, aber nur wenige, die zur eigentlichen Behebung hinführen. DockSec, so Patel, sei eine Brücke zwischen Finden und Beheben. Unternehmen könnten die Methode etwa in die Automatisierung ihres SOC übernehmen und mit den Befunden ihrer eigenen Scanner Lücken zeitnah schließen.
