常规安全常见问题
如何报告漏洞?
如果您在 Docker 中发现安全漏洞,我们鼓励您负责任地报告。将安全问题报告给 security@docker.com,以便我们的团队可以快速解决。
当不使用 SSO 时,如何管理密码?
密码经过加密和加盐哈希处理。如果您使用应用程序级密码而不是 SSO,则您有责任确保您的员工知道如何选择强密码、不共享密码以及不在多个系统中重复使用密码。
当不使用 SSO 时,Docker 是否需要重置密码?
不需要定期重置密码。NIST 不再建议将密码重置作为最佳实践。
在登录失败后,Docker 是否会锁定用户?
Docker Hub 的系统锁定全局设置是在 5 分钟内连续 10 次登录失败后,锁定持续时间为 5 分钟。相同的全局策略适用于经过身份验证的 Docker Desktop 用户和 Docker Scout,两者都使用 Docker Hub 进行身份验证。
您是否支持使用 YubiKey 的物理 MFA?
您可以通过使用您的 IdP 的 SSO 来配置此设置。请检查您的 IdP 是否支持物理 MFA。
会话是如何管理的,它们是否会过期?
Docker Desktop 使用令牌在用户登录后管理会话。Docker Desktop 会在 90 天后或 30 天不活动后将您注销。
在 Docker Hub 中,您需要在 24 小时后重新进行身份验证。如果用户使用 SSO 进行身份验证,则会遵守 IdP 的默认会话超时。
不支持针对会话的每个组织的自定义设置。
Docker 如何将下载归因于我们,以及使用什么数据来对用户进行分类或验证其是否属于我们的组织?
Docker Desktop 下载通过包含客户域的用户电子邮件链接到特定组织。此外,我们使用 IP 地址将用户与组织关联。
如果我们的大多数工程师在家工作并且不允许使用 VPN,您如何根据 IP 数据将下载数量归因于我们?
我们使用第三方数据丰富软件将用户及其 IP 地址与域关联,我们的提供商分析来自与特定 IP 地址相关的公共和私有数据源的活动,然后使用该活动来识别域并将其映射到 IP 地址。
一些用户通过登录 Docker Desktop 并加入其域的 Docker 组织进行身份验证,这使我们能够以更高的准确度对他们进行映射,并为您报告直接的功能使用情况。我们强烈建议您让您的用户进行身份验证,以便我们为您提供最准确的数据。
Docker 如何区分雇员用户和承包商用户?
在 Docker 中设置的组织使用已验证的域,任何电子邮件域与已验证域不同的团队成员都被记为该组织中的“访客”。
Docker Hub 日志保留多长时间?
Docker 提供各种类型的审计日志,日志保留时间各不相同。例如,Docker Hub 活动日志可保留 90 天。您负责将日志导出到他们自己的内部系统或设置驱动程序。
我可以导出所有用户的列表及其分配的角色和权限吗?如果可以,格式是什么?
使用 导出成员 功能,您可以将组织用户的角色和团队信息导出为 CSV 文件。
Docker Desktop 如何处理和存储身份验证信息?
Docker Desktop 使用主机操作系统的安全密钥管理来处理和存储身份验证令牌,这些令牌对于与镜像注册表进行身份验证是必要的。在 macOS 上,这是 Keychain;在 Windows 上,这是 通过 Wincred 的安全和身份 API;在 Linux 上,这是 Pass。
Docker Hub 如何保护存储中和传输中的密码?
这仅适用于使用 Docker Hub 的应用程序级密码而非 SSO/SAML。对于通过 SSO 即时或 SCIM 预配创建的用户,Docker Hub 不会存储密码。对于所有其他用户,应用程序级密码在存储中使用盐哈希(SHA-256)并通过传输进行加密(TLS)。
我们如何取消预配不属于我们 IdP 的用户?我们使用 SSO 但不使用 SCIM。
如果未启用 SCIM,则必须手动从我们的系统中删除组织中的用户。使用 SCIM 可以自动化此过程。
Scout 分析的容器镜像中收集了哪些元数据?
有关 Docker Scout 存储的元数据信息,请参见 数据处理。
在将扩展放入市场之前,如何对其进行安全审查?
扩展程序的安全审核在我们路线图上,但是目前尚未进行此审核。
扩展程序不包含在 Docker 的第三方风险管理计划中。
我可以通过设置禁用组织中的私有仓库,以确保没有人将镜像推送到 Docker Hub 吗?
不会。使用 注册表访问管理 (RAM),管理员可以确保使用 Docker Desktop 的开发人员仅访问允许的注册表。这通过 Docker Hub 上的注册表访问管理仪表板完成。