Dokumentation
Diese Dokumentation richtet sich an Behörden, öffentliche Einrichtungen und Dienstleister, die Container-Images auf container.gov.de veröffentlichen möchten, bestehende Images konform halten wollen oder sich über die zu diesem Zwecke gegründete Initiative SGCI informieren möchten.
Hinweis: Die Secure Government Container Initiative befindet sich derzeit im Aufbau. Formate, Richtlinien und Strukturen können sich noch ändern, da wir sie gemeinsam mit der Community weiterentwickeln. Wir freuen uns über Feedback und Beteiligung – schauen Sie gerne in den Open Community Sessions vorbei oder abonnieren Sie den Newsletter, um auf dem Laufenden zu bleiben.
Was ist container.gov.de?
container.gov.de ist das zentrale Verzeichnis für geprüfte und gehärtete Container-Images der öffentlichen Verwaltung. Rahmen ist die Secure Government Container Initiative (SGCI) von ZenDiS und openCode.
Um ein Image im Verzeichnis zu listen, muss es eine automatische Compliance-Prüfung bestehen: Alle bekannten Schwachstellen mit hohem oder kritischem Schweregrad müssen explizit bewertet worden sein. Darüber hinaus muss der Quellcode unter einer auf openCode zugelassenen Open-Source-Lizenz stehen.
Hintergrund: Container-Technologie als Basistechnologie
Container-Technologien haben sich zu einer zentralen Basistechnologie in der modernen Softwareentwicklung und im IT-Betrieb etabliert. Sie bündeln Anwendungscode, Laufzeitumgebung und Abhängigkeiten in einem standardisierten Paket. Dadurch können Anwendungen zuverlässig auf unterschiedlichen Infrastrukturen betrieben werden. Container bilden heute die Grundlage vieler cloudnativer Architekturen in Verwaltung, (Privat-)Wirtschaft und Forschung.
Digitale Souveränität und Herstellerunabhängigkeit
Behörden und Unternehmen suchen zunehmend nach Alternativen zu proprietären Software-Suiten – getrieben von Bedenken hinsichtlich Datenhoheit, Herstellerabhängigkeit und dem Wunsch nach mehr Kontrolle über die eigene digitale Infrastruktur. Studien zeigen, dass insbesondere digitale Souveränität und die Vermeidung von Lock-in-Effekten zentrale Gründe für den Einsatz von Open Source sind. (European Commission – Interoperable Europe, 2025).
Die Strategie des deutschen IT-Planungsrats zur digitalen Souveränität stellt fest, dass die IT der öffentlichen Verwaltung in hohem Maße von einzelnen wenigen Technologieanbietern abhängig ist – mit dem Risiko, die Kontrolle über eigene IT-Systeme zu verlieren und die Einhaltung von Datenschutzvorgaben zu gefährden. Als strategische Ziele werden daher die freie Anbieterauswahl und -wechselbarkeit sowie die Einflussnahme auf Technologieanbieter festgelegt (IT-Planungsrat, 2021). Die akademische Forschung zeigt ergänzend, wie proprietäre Schnittstellen und hohe Migrationsbarrieren die organisatorische Flexibilität einschränken, und unterstreicht, warum Interoperabilität bei Beschaffungsentscheidungen entscheidend ist (Opara-Martins et al., 2014).
Motivation: Skalierbare Sicherheit durch gemeinsame Bausteine
container.gov.de verfolgt das Ziel, gemeinsame und geprüfte Basis-Bausteine bereitzustellen. Anstatt dass jede Organisation Container-Images eigenständig absichert und prüft, können Images in einer Community gepflegt und weiterentwickelt werden. Dieser Ansatz ermöglicht es, das Sicherheitsniveau für viele Organisationen (insbesondere Verwaltungen) gleichzeitig skalierbar und nachhaltig anzuheben – ohne dass jede Organisation den vollständigen Aufwand zur Härtung und Schwachstellenbewertung selbst tragen muss.
Aufbau dieser Dokumentation
Die Dokumentation ist in vier Bereiche gegliedert:
| Bereich | Wofür? | Einstieg |
|---|---|---|
| Tutorials | Lernen durch Ausprobieren – detaillierte Tutorials von Anfang bis Ende | Erstes Image veröffentlichen |
| Anleitungen | Konkrete Aufgaben Schritt für Schritt lösen | Compliance prüfen |
| Erklärungen | Konzepte und Hintergründe verstehen | Container-Härtung verstehen |
| Referenzen | Details nachschlagen | Übersicht |
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Folgendes vorhanden ist:
- Account auf openCode
- Zugang zur DevGuard-Instanz auf openCode oder Zugang zu einem Werkzeug für Schwachstellenmanagement
- Eine Gruppe auf container.gov.de (Gruppe beantragen)
- Ein Container-Image, welches Sie veröffentlichen möchten
Weitere Details zu den technischen Zugangsvoraussetzungen finden Sie in den Referenzen.
Los geht’s!
Starten Sie mit dem Tutorial zum Veröffentlichen Ihres ersten Images.