通用安全常见问题

目录

如何报告漏洞?

如果您发现了 Docker 中的安全漏洞,我们鼓励您负责任地报告。请将安全问题报告给 security@docker.com,以便我们的团队能够快速解决。

未使用 SSO 时如何管理密码?

密码经过加密和加盐哈希处理。如果您使用应用级密码而非 SSO,则您有责任确保您的员工了解如何选择强密码、不共享密码以及不在多个系统上重复使用密码。

未使用 SSO 时,Docker 是否要求重置密码?

密码不需要定期重置。NIST 不再将密码重置作为最佳实践的一部分推荐。

登录失败后,Docker 是否会锁定用户?

Docker Hub 的系统锁定全局设置是 5 分钟内登录尝试失败 10 次后锁定,锁定持续时间为 5 分钟。同样的全局策略适用于经过身份验证的 Docker Desktop 用户和 Docker Scout,它们都使用 Docker Hub 进行身份验证。

是否支持使用 YubiKeys 进行物理 MFA?

您可以通过 SSO 使用您的 IdP 进行配置。请咨询您的 IdP 是否支持物理 MFA。

会话如何管理以及它们会过期吗?

默认情况下,用户登录后,Docker 使用令牌管理会话。

  • Docker Desktop 会在 90 天后或 30 天不活动后将您退出登录。
  • Docker Hub 和 Docker Home 会在 24 小时后将您退出登录。

Docker 也支持您的 IdP 的默认会话超时设置。您可以通过设置 Docker session minutes SAML 属性来配置此项。更多信息请参见 SSO attributes

Docker 如何将下载量归因于我们?使用哪些数据来分类或验证用户是否属于我们的组织?

Docker Desktop 下载通过包含客户域的用户电子邮件关联到特定组织。此外,我们还使用 IP 地址将用户与组织关联。

如果大多数工程师在家工作且不允许使用 VPN,你们如何根据 IP 数据将下载量归因于我们?

我们使用第三方数据增强软件将用户及其 IP 地址归因于域名,我们的提供商会分析与该特定 IP 地址相关的公共和私有数据源的活动,然后使用该活动识别域名并将其映射到 IP 地址。

一些用户通过登录 Docker Desktop 并加入他们域的 Docker 组织进行身份验证,这使我们能够以更高的准确性对其进行映射,并为您报告直接的功能使用情况。我们强烈建议您让用户进行身份验证,以便我们为您提供最准确的数据。

Docker 如何区分员工用户和承包商用户?

在 Docker 中设置的组织使用已验证的域名,任何电子邮件域名与已验证域名不同的团队成员在该组织中都被标记为“访客”。

活动日志可保留多久?

Docker 提供各种类型的审计日志,日志保留期各不相同。例如,Docker 活动日志可保留 90 天。您有责任将日志导出或设置驱动程序将其发送到自己的内部系统。

我是否可以导出所有用户的列表,包括其分配的角色和权限?如果可以,以什么格式导出?

使用 Export Members 功能,您可以将组织用户的列表及其角色和团队信息导出为 CSV 格式。

Docker Desktop 如何处理和存储身份验证信息?

Docker Desktop 利用主机操作系统的安全密钥管理机制来处理和存储用于向镜像 Registry 进行身份验证的身份验证令牌。在 macOS 上是 Keychain;在 Windows 上是通过 Wincred 实现的 Security and Identity API;在 Linux 上是 Pass

Docker Hub 如何确保存储和传输中的密码安全?

这仅适用于使用 Docker Hub 应用级密码而非 SSO/SAML 的情况。对于通过 SSO Just-in-Time 或 SCIM 预置创建的用户,Docker Hub 不存储密码。对于所有其他用户,应用级密码在存储中经过加盐哈希处理 (SHA-256),在传输中经过加密 (TLS)。

如何取消配置不属于我们 IdP 的用户?我们使用 SSO 但不使用 SCIM

如果未启用 SCIM,您必须在我们的系统中手动从组织中删除用户。使用 SCIM 可以自动化此过程。

Scout 分析的容器镜像会收集哪些元数据?

有关 Docker Scout 存储的元数据的信息,请参见 Data handling

Marketplace 中的扩展在发布前如何进行安全审查?

扩展的安全审查正在我们的路线图上,但目前尚未进行。

扩展不属于 Docker 第三方风险管理计划的一部分。

我能否通过设置禁用组织中的私有仓库,以确保没有人向 Docker Hub 推送镜像?

否。借助 Registry Access Management (RAM),管理员可以确保使用 Docker Desktop 的开发者只能访问允许的 Registry。这通过管理员控制台中的 Registry Access Management 仪表盘完成。

页面选项