漏洞披露政策
在 Docker,我们非常重视安全,并将其视为重中之重。如果您在 Docker 的某个产品或服务中发现了安全漏洞,我们鼓励您负责任地向 security@docker.com 报告。
范围
对于 Docker Hub、Docker Scout、Docker Build Cloud、TestContainers、Docker Desktop、Docker 在 Docker Desktop Marketplace 中发布的 Docker 扩展以及由 Docker 维护的开源项目的安全问题报告,我们同样接受并高度赞赏。对于非 Docker 拥有的任何扩展中的安全问题,请联系相应的供应商。
域名
- docker.com
- www.docker.com
- hub.docker.com
- build.docker.com
- *.docker.com
- *.docker.io
排除范围
以下安全测试和报告不在范围之内
- 第三方网站和依赖项中的漏洞,以及用于维护和构建 Docker OSS 的服务或平台中的漏洞(例如,CI/CD 系统、包管理器)
- 社会工程
- 拒绝服务
- 暴力攻击
- 未证明影响的信息泄露
- 仅限于过时浏览器版本的漏洞
- 加固建议和非默认的不安全配置
指导原则
根据本政策,
- 在发现属于计划范围内的安全问题后,尽快通知 Docker。
- 尽一切努力避免侵犯隐私、降低用户体验、干扰生产系统以及破坏或篡改不属于您自己的数据。
- 仅在确认漏洞存在的必要范围内使用漏洞利用。不要使用漏洞利用来泄露或窃取数据、建立持久性或使用漏洞利用“转向”其他系统。
- 在公开披露问题之前,给予 Docker 合理的时间来解决问题。
- 您不会故意损害 Docker 客户、Docker 员工或任何第三方的隐私。
- 您不会故意损害 Docker 员工或实体或任何第三方的知识产权或其他商业或财务利益。
- 执行安全测试时,请仅针对您自己的账户,不要执行任何揭示、损害或破坏其他用户数据的活动。
漏洞报告
如果您发现了上述范围内的漏洞,请保持您的报告简洁,包括
- 问题描述、影响和重现步骤
- 错误位置(域名、URL、应用、OSS 仓库等)
- 受影响的版本和平台(如适用)
- 一个良性、非破坏性的概念证明(PoC),用于演示漏洞的影响,且不会造成中断或声誉损害
请注意,我们仅回复技术性漏洞报告。非安全相关错误和合规性查询应发送至 support@docker.com。
您可以从 Docker 获得什么
Docker 将在两个工作日内对报告作出初步回应。
Docker 安全团队可以为 Docker 软件中的问题分配 CVE 编号。Docker 保留决定是否需要 CVE 的权利。
对于未公开知晓的问题,我们将在必要时遵守任何禁令(根据 Docker 的负责任披露政策,禁令通常设定为 90 天)。如果其他方在约定的禁令日期之前披露了该问题或有证据表明存在滥用行为,我们保留在禁令到期前发布修复程序的权利。
Docker 提供一个私有的漏洞悬赏计划,对于高危及以上漏洞的报告者,我们将赠送周边。为了获得资格,报告者必须遵守本政策及所列出的指导原则。Docker 还将通过在安全发布页面、GitHub XXXX 和 Docker 名人堂页面上提及的方式给予公开致谢。
如有多人报告,致谢将给予第一位报告该漏洞的研究人员。
安全港
为鼓励研究和负责任地披露安全漏洞,对于无意间违反 Docker 漏洞披露政策的行为,Docker 不会追究民事或刑事责任,或采取强制措施。Docker 保留对任何不合规行为追究法律责任的权利。
您不得对 Docker 产品和服务执行任何违反法律、干扰生产系统可用性或损坏或损害不属于您自己的数据的安全测试。
第三方安全港
第三方依赖项属于本计划范围。如果您在第三方依赖项中发现了安全漏洞,请首先将您的漏洞披露发送给受影响包的拥有者,并确保问题在上游得到解决,然后再告知我们问题详情。
如果向 Docker 报告了第三方依赖项漏洞,我们将引导您与第三方所有者分享。请参考第三方的漏洞披露政策和安全港承诺,以确保您符合要求。
常见问题解答
问:Docker 是否有付费漏洞悬赏计划?
答:目前,我们没有付费漏洞悬赏计划。但是,我们将赠送周边,如果您是第一位报告可验证安全漏洞的人,我们将公开致谢。
问:我何时可以公开分享我发现的漏洞信息?
答:请对您发现的任何漏洞信息保密,直到我们有最多 90 天的时间来解决问题,这符合行业标准做法。