Docker 的安全性
Docker 致力于通过证明其产品是安全的来建立客户信任。在您管理所有开发者需求时,您可以安心知道您的数据得到了妥善保管。
网络安全需要社区协作
网络安全是共同责任。Docker 提供企业级安全功能、合规性审计、隐私保护以及可配置的安全设置,以支持您公司的需求。客户也有责任实施安全控制和最佳实践,以加强其对 Docker 产品的使用安全性。
安全资料
报告漏洞
如果您发现了 Docker 中的安全漏洞,我们鼓励您负责任地进行报告。请将安全问题报告至 security@docker.com,以便我们的团队能快速处理。阅读 Docker 的漏洞披露政策。
安全常见问题
谁负责 Docker 的信息安全?
在 Docker,我们相信每个人都对安全负责。Docker 拥有一支由高层管理人员支持的跨部门协作团队,负责组织内部和 Docker 产品层面的网络安全。该团队由信息安全、安全工程、IT、数据、运营和 GRC 资源组成。
该小组推动内部和产品安全计划,并协作进行审计、事件和漏洞管理、产品、项目、供应商的安全评审等。
在哪里可以找到 Docker 产品的安全公告?
Docker 是否有信息安全政策?
是的。Docker 拥有完善记录的信息安全政策,这是一项总括性的伞状政策,在其范围内包含许多子政策。总的来说,许多政策共同构成了我们的信息安全管理体系 (ISMS)。
Docker 多久测试一次安全控制?
Docker 使用合规性工具进行自动化、持续测试。我们根据风险级别定期测试控制措施,但所有控制措施至少每年测试一次。
多久进行一次渗透测试以及是否提供报告?
Docker 委托信誉良好的第三方对我们的产品进行年度渗透测试。Docker Hub、Docker Desktop、Docker Scout 和 Build Cloud 都会例行测试。测试总结和修复状态报告可在 NDA 下提供给客户。
如何获取 Docker 的安全政策文档?
Docker 通过我们在 Whistic 平台上的安全档案,在 NDA 下与客户和潜在客户分享安全政策目录。客户可以通过提交文档请求访问 Whistic。
Docker 是否有漏洞管理政策?
Docker 拥有漏洞管理政策,其中包含资产扫描、防病毒/反恶意软件以及已识别漏洞的修复/风险接受要求。
Docker 是否对第三方进行风险评估?
是的,Docker 在引入所有新的适用第三方时都会进行供应商尽职调查。这分析了每个供应商的风险。评审包括检查合规性证明(例如,SOC 2、ISO 27001、PCI)以及其他安全/合规性相关文档。
Docker 是否提供 24/7 安全监控?
是的。Docker 提供 24/7 对关键和高风险安全事件的监控和警报。警报记录在我们的 SIEM 工具中。高危和关键事件会发送到我们的安全值班工具。
Docker 是否有安全软件开发生命周期 (SSDLC) 政策?
是的。Docker 拥有正式的 SSDLC 政策,该政策定义了安全和隐私要求。所有新的 Docker 产品和功能都必须经过安全和合规性评审。Docker 也遵循 OWASP 的最佳实践。
Docker 是否对传输中和静态的数据进行加密?
是的。所有数据在传输中和静态时都进行加密。Docker 使用 TLS 1.2 或更高版本、AES-256 等。
Docker 是否对员工进行背景调查?
是的。在当地法律允许的情况下,Docker 在雇佣所有适用员工之前会进行背景调查。这包括就业、犯罪记录、职业、学历和推荐人等方面。
Docker 是否有正式的入职、离职、访问权限分配和撤销流程?
是的。Docker 拥有完善记录、已批准并传达的人力资源招聘以及入职、离职和访问控制政策。人员离职时,Docker 会在 24 小时内撤销其访问权限。我们也会根据需要对调动和岗位变动人员的访问权限进行更改。
Docker 员工是否可以访问客户数据?
是的。但只有经授权的 Docker 员工和承包商才能根据其工作职责,在必要和适当的情况下访问特定范围的数据。Docker 基于最小权限原则分配访问权限。
