一般安全性常见问题解答

如果您在 Docker 中发现了安全漏洞，我们鼓励您负责任地报告它。向 security@docker.com 报告安全问题，以便我们的团队快速解决这些问题。

密码经过加密和盐哈希处理。如果您使用应用程序级密码而不是 SSO，则您有责任确保您的员工知道如何选择强密码、不要共享密码以及不要在多个系统之间重复使用密码。

密码不需要定期重置。NIST 不再建议将密码重置作为最佳实践的一部分。

Docker Hub 的系统锁定全局设置是在 5 分钟内尝试登录 10 次失败后，锁定持续时间为 5 分钟。相同的全局策略适用于经过身份验证的 Docker Desktop 用户和 Docker Scout，它们都使用 Docker Hub 进行身份验证。

您可以使用 IdP 通过 SSO 进行配置。请与您的 IdP 联系，看看它们是否支持物理 MFA。

Docker Desktop 在用户登录后使用令牌管理会话。Docker Desktop 会在 90 天或处于非活动状态 30 天后将您注销。

在 Docker Hub 中，您需要在 24 小时后重新进行身份验证。如果用户使用 SSO 进行身份验证，则遵循 IdP 的默认会话超时。

不支持每个组织的会话自定义设置。

Docker Desktop 下载通过包含客户域的用户电子邮件链接到特定组织。此外，我们使用 IP 地址将用户与组织相关联。

我们使用第三方数据扩充软件将用户及其 IP 地址归因于域，我们的提供商会分析来自与该特定 IP 地址相关的公共和私有数据源的活动，然后使用该活动来识别域并将其映射到 IP 地址。

一些用户通过登录 Docker Desktop 并加入其域的 Docker 组织进行身份验证，这使我们能够更准确地映射他们，并为您报告直接功能使用情况。我们强烈建议您对用户进行身份验证，以便我们为您提供最准确的数据。

在 Docker 中设置的组织使用已验证的域，任何团队成员的电子邮件域不是已验证的域，在该组织中都标记为“来宾”。

Docker 提供各种类型的审计日志，日志保留期各不相同。例如，Docker Hub 活动日志的有效期为 90 天。您负责导出日志或将驱动程序设置到他们自己的内部系统。

使用 Export Members （导出成员）功能，您可以将包含角色和团队信息的组织用户列表导出为 CSV。

Docker Desktop 利用主机操作系统的安全密钥管理来处理和存储使用镜像注册表进行身份验证所需的身份验证令牌。在 macOS 上，这是 Keychain;在 Windows 上，这是通过 Wincred 的安全性和身份 API;在 Linux 上，这是 Pass。

这仅适用于使用 Docker Hub 的应用程序级密码而不是 SSO/SAML 时。对于通过 SSO Just-in-Time 或 SCIM 配置创建的用户，Docker Hub 不存储密码。对于所有其他用户，应用程序级密码在存储中经过盐哈希（SHA-256）和传输中加密（TLS）。

如果未启用 SCIM，则必须在我们的系统中手动从组织中删除用户。使用 SCIM 可以自动执行此操作。

有关 Docker Scout 存储的元数据的信息，请参阅数据处理。

扩展的安全审查在我们的路线图上，但目前尚未完成此审查。

扩展不包含在 Docker 的第三方风险管理计划中。

不。借助 Registry Access Management （RAM），管理员可以确保使用 Docker Desktop 的开发人员只能访问允许的注册表。这是通过 Docker Hub 上的 Registry Access Management 控制面板完成的。