srmdn.

Back

5 Update Docker Desktop: Mei–Juni 2026Blur image

5 Perubahan Docker Desktop 2026 yang Perlu Diperhatikan Developer#

19 Mei sampai 15 Juni 2026. Docker Desktop rilis lima versi: 4.74.0 sampai 4.78.0.

Extensions dimatikan. docker sbom diarahkan ke Scout. Gordon AI dapat label GA. Satu CVE bikin VM crash lewat bind mount.

Semua fakta di bawah ini saya kutip dari release notes resmi Docker. Interpretasi setelahnya itu pendapat saya sendiri. Kamu bisa tarik kesimpulan berbeda.


1. Docker Extensions Sekarang Mati Secara Default#

Di Docker Desktop 4.74.0:#

Docker Extensions is now disabled by default.

Artinya, pada instalasi baru, Docker Extensions tidak langsung aktif. Pengguna harus menyalakannya sendiri lewat settings.

Perubahan ini datang tidak lama setelah Docker menambahkan security notice di versi 4.72.0:

The Extensions settings page now includes a security notice that extensions run with host-level privileges and are not audited by Docker.

Jadi pesannya cukup jelas: Extensions punya akses tinggi ke host, dan Docker tidak mengaudit semua extension tersebut.

Buat saya, ini sinyal bahwa Docker mulai lebih hati-hati dengan Extensions.

Dulu Extensions didorong sebagai ekosistem tambahan di Docker Desktop. Developer bisa memasang third-party tools langsung dari Docker Desktop, mirip seperti marketplace kecil di dalam aplikasi.

Masalahnya, extension seperti ini bukan sekadar plugin UI. Ia bisa punya akses ke filesystem, network, dan bagian lain dari host. Kalau extension aman dan terawat, ini membantu. Tapi kalau extension ditinggalkan, compromised, atau sejak awal dibuat sembarangan, risikonya lumayan besar.

Kita sudah pernah melihat pola seperti ini di browser extension. Awalnya marketplace tumbuh cepat. Lama-lama muncul extension yang inject iklan, tracking browsing history, atau menyisipkan behavior yang tidak diinginkan. Setelah itu barulah browser mulai memperketat review, permission, dan warning.

Docker sepertinya sedang bergerak ke arah yang sama: lebih aman secara default.

Kalau kamu pernah mengaktifkan Docker Extensions, ini waktu yang bagus untuk cek ulang. Masih dipakai? Masih di-maintain? Masih jelas author-nya? Kalau tidak, mungkin lebih baik dimatikan.


2. `docker sbom` Deprecated, Diganti `docker scout sbom`#

Di Docker Desktop 4.76.0:#

The `docker sbom` command has been deprecated and will be removed in a future release. Use the `docker scout sbom` command instead.

`docker sbom` adalah command untuk membuat Software Bill of Materials dari container image. Isinya daftar package, dependency, dan versi yang ada di dalam image.

Sekarang command itu deprecated. Penggantinya adalah:

docker scout sbom
plaintext

Ini perubahan kecil yang bisa berdampak besar kalau kamu punya CI pipeline atau script lama.

docker sbom dulu terasa seperti command sederhana: jalankan, dapat daftar dependency. Sekarang arahnya digeser ke Docker Scout, yaitu ekosistem security Docker yang lebih luas. Scout bukan cuma SBOM, tapi juga vulnerability analysis, policy, remediation, dan integrasi lain.

Apakah ini otomatis buruk? Tidak juga. Scout memang lebih lengkap. Tapi buat sebagian orang, ini tetap terasa seperti fitur sederhana yang sekarang diarahkan ke produk yang lebih besar.

Kalau kamu hanya butuh SBOM tanpa bergantung pada Scout, masih ada alternatif open source:

  • syft dari Anchore untuk generate SBOM

  • trivy dari Aqua untuk SBOM dan vulnerability scanning

  • grype dari Anchore untuk vulnerability scanning berbasis SBOM

Yang penting: jangan tunggu sampai command lama benar-benar hilang. Kalau pipeline kamu masih pakai docker sbom, mulai cek dari sekarang.

Begitu warning deprecated sudah muncul, anggap saja timer migrasi sudah jalan.


3. Gordon AI Assistant Makin Serius#

Di Docker Desktop 4.74.0:#

Gordon is now generally available.

Gordon adalah AI assistant yang terintegrasi di Docker Desktop. Ia bisa membantu memahami error, membaca konteks Docker, dan menjalankan workflow tertentu dengan bantuan natural language.

Di Docker Desktop 4.78.0, Docker juga menambahkan live streaming output untuk Gordon tool calls:

Added live streaming output to Gordon tool calls so long-running commands like docker compose up display STDOUT/STDERR in real time instead of waiting until completion.

Artinya, saat Gordon menjalankan command panjang seperti docker compose up, output-nya bisa tampil real-time. Tidak perlu menunggu command selesai dulu.

Beberapa improvement lain juga muncul di versi 4.77.0 dan 4.78.0, seperti OAuth flow untuk MCP server, error message network yang lebih jelas, dan perbaikan tampilan model picker.

Docker jelas ingin masuk lebih dalam ke AI-assisted development.

Selama ini, banyak developer memakai AI dari luar Docker: Cursor, GitHub Copilot, Claude Code, Codex, atau terminal biasa yang dibantu AI. Gordon adalah jawaban Docker dari dalam aplikasinya sendiri: AI yang paham konteks Docker Desktop, container, image, volume, dan workflow lokal.

Live streaming output sendiri sebenarnya bukan fitur AI yang revolusioner. Terminal biasa sudah menampilkan output real-time sejak lama. Tapi dalam konteks AI assistant, ini penting. Kalau AI menjalankan command panjang lalu output-nya baru muncul setelah selesai, experience-nya terasa lambat dan tidak transparan.

Dengan streaming, user bisa melihat prosesnya berjalan. Ini lebih nyaman dan lebih mudah dipercaya.

Catatannya: Gordon bergantung pada Docker Desktop. Jadi ini relevan untuk pengguna Docker Desktop di laptop atau desktop, bukan untuk orang yang hanya menjalankan Docker Engine headless di VPS/server.

Pertanyaan besarnya: apakah Gordon cukup berguna sampai developer mau membiasakan diri pakai AI dari Docker? Atau developer tetap lebih nyaman memakai AI assistant umum plus terminal biasa?


4. CVE-2026-8936: Container Bisa Membuat VM Docker Desktop Panic#

Di Docker Desktop 4.76.0, Docker memperbaiki CVE-2026-8936.#

Masalahnya ada pada grpcfuse, komponen filesystem yang dipakai Docker Desktop untuk sharing file antara host dan container.

Docker menjelaskan bahwa VM panic bisa terjadi karena unbounded recursion di kernel module grpcfuse ketika container membuat directory structure yang sangat dalam pada folder host yang di-bind mount, lalu memicu dentry invalidation event.

Sederhananya: container membuat folder di dalam folder, terus sangat dalam, di folder yang sedang di-mount dari host. Dalam kondisi tertentu, ini bisa membuat VM Docker Desktop panic.

VM panic berarti Docker Desktop bisa crash atau restart. Container yang sedang berjalan ikut berhenti.

Ini menarik karena bukan container escape dalam arti klasik. Container tidak tiba-tiba mendapat akses penuh ke host.

Tapi container tetap bisa mengganggu host development environment dengan operasi filesystem biasa. Dampaknya lebih dekat ke denial of service daripada data breach.

Buat development environment, ini tetap menyebalkan. Bayangkan container sedang menjalankan database lokal, queue worker, atau service lain, lalu Docker Desktop restart karena crash. Minimal workflow terganggu. Bisa juga bikin debugging jadi kacau karena root cause-nya tidak kelihatan jelas.

Yang penting: ini masalah Docker Desktop, bukan Docker Engine biasa di VPS Linux.

Docker Desktop punya VM dan mekanisme file sharing khusus antara host dan container. Di server Linux biasa, Docker Engine umumnya berjalan langsung di atas filesystem Linux seperti overlay2, tanpa layer file sharing grpcfuse seperti ini.

Kalau kamu pakai Docker Desktop dan sering bind mount folder project dari host ke container, update ke 4.76.0 atau versi yang lebih baru.

Kalau kamu menjalankan Docker Engine di VPS Linux biasa, issue ini kemungkinan besar tidak relevan untuk setup kamu.


5. Marketplace Extensions Sekarang Dipin dengan Manifest Digest#

Di Docker Desktop 4.77.0:#

Marketplace extensions are now installed and updated by pinned manifest digest, instead of by tag, protecting against tag mutation after publication.

Sebelumnya, extension marketplace bisa diinstall atau diupdate berdasarkan tag image. Sekarang Docker memakai manifest digest.

Tag bisa berubah. Digest tidak.

Ini perubahan yang kelihatannya kecil, tapi penting untuk supply chain security.

Tag seperti latest atau v1.0 itu hanya nama. Author image bisa mengubah isi di balik tag tersebut. Hari ini v1.0 menunjuk ke image A. Besok, tag yang sama bisa dipush ulang dan menunjuk ke image B.

Kalau package manager atau marketplace terlalu percaya pada tag, ada celah: pengguna merasa menginstall versi yang sama, padahal isi sebenarnya sudah berubah.

Manifest digest menyelesaikan masalah itu dengan cara lebih ketat. Digest adalah hash dari isi image. Kalau isi image berubah, digest ikut berubah. Jadi Docker bisa memastikan extension yang diinstall atau diupdate memang merujuk ke artifact yang spesifik, bukan sekadar nama tag yang bisa digeser.

Ini bukan teori baru. Supply chain attack lewat package, dependency, image, dan maintainer account sudah sering terjadi di berbagai ekosistem. Karena itu, pinning by digest adalah langkah yang masuk akal.

Menurut saya, ini seharusnya jadi default di lebih banyak tooling. Tag enak untuk manusia. Digest lebih aman untuk mesin.

Kesimpulan#

Satu pola dari kelima update ini: Docker Desktop jadi lebih tertutup. Extensions dimatikan. SBOM pindah ke produk berbayar. Gordon dapat label GA. Security fix masuk rutin setiap rilis.

Docker Engine di VPS tidak terdampak. Hanya CVE dan SBOM deprecation yang perlu kamu cek di server. Sisanya spesifik Desktop.

Kalau kamu pakai Docker Desktop, update sekarang. Apalagi kalau kamu sering bind mount folder atau nyalakan Extensions.

Jangan abaikan deprecation warning. Migrasi docker sbom sebelum command-nya hilang dari CLI.

Source: Docker Desktop release notes versi 4.72.0 sampai 4.78.0.

Enjoyed this post?

Get Linux tips, sysadmin war stories, and new posts delivered to your inbox.

No spam. Unsubscribe anytime.

5 Update Docker Desktop: Mei–Juni 2026
https://srmdn.com/blog/5-update-docker-desktop-mei-juni-2026
Author srmdn
Published at June 16, 2026