一般安全性常見問題
如何回報弱點?
如果您在 Docker 中發現安全性弱點,我們鼓勵您負責任地回報。請將安全性問題回報至 security@docker.com,以便我們的團隊可以迅速解決。
未使用 SSO 時,密碼是如何管理的?
密碼經過加密和加鹽雜湊處理。如果您使用應用程式級密碼而不是 SSO,您有責任確保您的員工知道如何選擇強式密碼、不分享密碼,以及不在多個系統中重複使用密碼。
未使用 SSO 時,Docker 是否需要重設密碼?
密碼不需要定期重設。NIST 不再建議將密碼重設作為最佳實務的一部分。
Docker 是否會在登入失敗後鎖定使用者?
Docker Hub 的系統鎖定全域設定是在 5 分鐘內嘗試登入失敗 10 次後,鎖定持續時間為 5 分鐘。相同的全域策略適用於已驗證的 Docker Desktop 使用者和 Docker Scout,兩者都使用 Docker Hub 進行驗證。
您是否支援使用 YubiKey 進行實體 MFA?
您可以使用您的 IdP 透過 SSO 進行設定。請諮詢您的 IdP 是否支援實體 MFA。
工作階段是如何管理的,它們會過期嗎?
Docker Desktop 使用權杖來管理使用者登入後的工作階段。Docker Desktop 會在 90 天或閒置 30 天後將您登出。
在 Docker Hub 中,您需要在 24 小時後重新驗證。如果使用者使用 SSO 進行驗證,則會遵守 IdP 的預設工作階段逾時。
不支援每個組織的自訂工作階段設定。
Docker 如何將下載歸因於我們,以及使用哪些資料來分類或驗證使用者是我們組織的一部分?
Docker Desktop 下載會透過包含客戶網域的使用者電子郵件連結至特定組織。此外,我們使用 IP 位址將使用者與組織建立關聯。
如果我們的大多數工程師都在家工作且不允許使用 VPN,您如何將下載次數從 IP 資料歸因於我們?
我們使用第三方資料強化軟體將使用者及其 IP 位址歸因於網域,我們的供應商會分析與該特定 IP 位址相關的公開和私人資料來源的活動,然後使用該活動來識別網域並將其對應至 IP 位址。
有些使用者會透過登入 Docker Desktop 並加入其網域的 Docker 組織來進行驗證,這讓我們能夠以更高的準確度對應它們,並回報您直接使用的功能。我們強烈建議您讓您的使用者通過驗證,以便我們能提供最準確的資料。
Docker 如何區分員工使用者和承包商使用者?
在 Docker 中設定的組織使用已驗證的網域,任何具有非已驗證電子郵件網域的團隊成員在該組織中都會被標記為「訪客」。
Docker Hub 記錄可使用多久?
Docker 提供各種稽核記錄類型,記錄保留期限各不相同。例如,Docker Hub 活動記錄可保存 90 天。您有責任將記錄匯出或設定驅動程式到自己的內部系統。
我可以匯出所有使用者及其指定角色和權限的清單嗎?如果是,採用哪種格式?
使用「匯出成員」功能,您可以將組織使用者的角色和團隊資訊匯出為 CSV 檔案。
Docker Desktop 如何處理和儲存驗證資訊?
Docker Desktop 利用主機作業系統的安全金鑰管理來處理和儲存向映像檔倉庫進行身份驗證所需的驗證權杖。在 macOS 上,這是 鑰匙圈;在 Windows 上,這是 透過 Wincred 使用安全性和身分識別 API;在 Linux 上,這是 Pass。
Docker Hub 如何保護儲存中和傳輸中的密碼?
這僅適用於使用 Docker Hub 的應用程式級密碼,而不是 SSO/SAML。對於透過 SSO 即時佈建或 SCIM 佈建建立的使用者,Docker Hub 不會儲存密碼。對於所有其他使用者,應用程式級密碼在儲存中會進行加鹽雜湊 (SHA-256),並在傳輸過程中進行加密 (TLS)。
我們如何取消佈建不屬於我們 IdP 的使用者?我們使用 SSO 但不使用 SCIM
如果未啟用 SCIM,您必須手動從我們系統中的組織中移除使用者。使用 SCIM 可以自動執行此操作。
從 Scout 分析的容器映像中收集哪些中繼資料?
有關 Docker Scout 儲存的後設資料資訊,請參閱資料處理。
市集中的擴充功能在放置之前如何進行安全性審查?
擴充功能的安全審查已在我們的路線圖中,但目前尚未執行此審查。
擴充功能不在 Docker 的第三方風險管理計畫涵蓋範圍內。
我可以透過設定停用組織中的私人儲存庫,以確保沒有人將映像推送到 Docker Hub 嗎?
否。透過 倉庫存取管理 (RAM),管理員可以確保使用 Docker Desktop 的開發人員只能存取允許的倉庫。這是透過 Docker Hub 上的倉庫存取管理控制面板完成的。