一般安全常见问题
如何报告漏洞?
如果您在 Docker 中发现了安全漏洞,我们鼓励您负责任地报告。请向 security@docker.com 报告安全问题,以便我们的团队能够迅速处理。
未使用 SSO 时如何管理密码?
密码经过加密和加盐哈希处理。如果您使用应用程序级密码而不是 SSO,您有责任确保您的员工知道如何选择强密码、不共享密码,并且不在多个系统中重复使用密码。
如果不使用 SSO,Docker 是否需要重置密码?
无需定期重置密码。NIST 不再建议将密码重置作为最佳实践的一部分。
Docker 是否会在登录失败后锁定用户?
Docker Hub 的系统锁定全局策略是在 5 分钟内失败登录 10 次后触发锁定,锁定时长为 5 分钟。该全局策略同样适用于已通过身份验证的 Docker Desktop 用户和 Docker Scout,两者均使用 Docker Hub 进行身份验证。
您是否支持使用 YubiKeys 的物理 MFA?
您可以通过 SSO 使用您的 IdP 进行配置。请向您的 IdP 确认是否支持物理 MFA。
会话是如何管理的,它们会过期吗?
Docker Desktop 使用令牌来管理用户登录后的会话。Docker Desktop 会在 90 天后或 30 天不活动后让您退出登录。
在 Docker Hub 中,您需要在 24 小时后重新认证。如果用户使用 SSO 进行认证,则遵守 IdP 的默认会话超时设置。
不支持为每个组织自定义会话设置。
Docker 如何将下载归因于我们,以及使用哪些数据来分类或验证用户属于我们组织?
Docker Desktop 下载通过包含客户域名的用户电子邮件链接到特定组织。此外,我们使用 IP 地址将用户与组织关联起来。
如果我们的工程师大部分在家办公,且不允许使用 VPN,你们如何通过 IP 数据将这些下载量归因于我们?
我们使用第三方数据增强软件将用户及其IP地址归属到域名,在此过程中,我们的服务提供商分析与特定IP地址相关的公共和私有数据源的活动,然后利用这些活动来识别域名并将其映射到该IP地址。
一些用户通过登录 Docker Desktop 并加入其域的 Docker 组织来进行身份验证,这使我们能够以更高的准确度映射他们,并为您报告直接的功能使用情况。我们强烈建议您让用户进行身份验证,以便我们为您提供最准确的数据。
Docker 如何区分员工用户和承包商用户?
在 Docker 中设置的组织会使用已验证的域名,任何电子邮件域名与已验证域名不同的团队成员在该组织中都会被标记为“访客”。
Docker Hub 日志保留多长时间?
Docker 提供各种类型的审计日志,日志保留期限各不相同。例如,Docker Hub 活动日志保留 90 天。您需要自行负责导出日志或设置驱动程序以将其传输到您自己的内部系统。
是否可以导出所有用户及其分配的角色和权限的列表?如果可以,支持什么格式?
使用 导出成员功能,您可以将组织的用户列表(包含角色和团队信息)导出为 CSV 文件。
Docker Desktop 如何处理和存储认证信息?
Docker Desktop 利用主机操作系统的安全密钥管理来处理和存储与镜像仓库进行身份验证所需的身份验证令牌。在 macOS 上,这是 Keychain;在 Windows 上,这是 通过 Wincred 的安全与身份 API;在 Linux 上,这是 Pass。
Docker Hub 如何保护存储中和传输中的密码?
此内容仅适用于使用 Docker Hub 应用级密码而非 SSO/SAML 的情况。对于通过 SSO 即时 (Just-in-Time) 或 SCIM 配置创建的用户,Docker Hub 不存储密码。对于所有其他用户,应用级密码在存储时进行加盐哈希处理 (SHA-256),并在传输过程中加密 (TLS)。
我们如何取消配置不属于我们 IdP 的用户?我们使用 SSO 但不使用 SCIM
如果未启用 SCIM,您必须在我们系统的组织中手动移除用户。使用 SCIM 可以自动完成此操作。
Scout 分析的容器镜像收集了哪些元数据?
有关 Docker Scout 存储的元数据的信息,请参阅 数据处理。
在入驻 Marketplace 之前,其中的扩展是如何进行安全性审查的?
扩展程序的安全审查已列入我们的路线图,但目前尚未进行此项审查。
扩展程序不属于 Docker 第三方风险管理计划的范围。
我能否通过设置禁用组织中的私有仓库,以确保没有人将镜像推送到 Docker Hub?
不会。通过 注册表访问管理 (RAM),管理员可以确保使用 Docker Desktop 的开发人员仅访问允许的注册表。这是通过 Docker Hub 上的注册表访问管理仪表板完成的。