Docker 的安全
Docker 致力于通过证明我们的产品安全来建立客户信任。在您管理所有开发人员需求时,您可以放心,您的数据掌握在可靠的人手中。
网络安全需要社区
网络安全是一项共同的责任。Docker 提供企业级安全功能、合规性审计、隐私保护和可配置的安全设置,以满足您公司的需求。客户还负责实施安全控制和最佳实践,以加强其对 Docker 产品的使用。
安全资料
报告漏洞
如果您在 Docker 中发现了安全漏洞,我们鼓励您负责任地报告它。请将安全问题报告给[email protected],以便我们的团队能够快速解决它们。阅读Docker 的漏洞披露政策。
安全常见问题
谁负责 Docker 的信息安全?
在 Docker,我们认为每个人都应该对安全负责。Docker 拥有一个由高层管理人员支持的跨协作团队,负责组织内部和 Docker 产品中的网络安全。该团队由信息安全、安全工程、IT、数据、运营和 GRC 资源组成。
该团队推动内部和产品安全计划,并协作进行审计、事件和漏洞管理、产品、项目、供应商的安全审查等。
在哪里可以找到有关 Docker 产品的安全通知?
Docker 是否有信息安全策略?
是的。Docker 有一份记录在案的信息安全策略,这是一项覆盖范围广泛的总体策略,其下有许多子策略。总的来说,许多策略构成了我们的信息安全管理体系 (ISMS)。
Docker 多久测试一次安全控制?
Docker 利用合规性工具进行自动化、持续测试。我们会根据其风险级别定期测试控制,但所有控制至少每年测试一次。
渗透测试多久执行一次,报告是否可用?
Docker 聘请信誉良好的第三方每年对我们的产品进行渗透测试。Docker Hub、Docker Desktop、Docker Scout 和 Build Cloud 会定期进行测试。测试摘要和补救状态报告可根据 NDA 提供给客户。
如何访问 Docker 的安全策略文档?
Docker 通过 Whistic 平台上的安全资料,在保密协议 (NDA) 下与客户和潜在客户共享安全策略目录。客户可以通过 提交文档请求 访问 Whistic。
Docker 是否有漏洞管理策略?
Docker 拥有漏洞管理策略,其中包括资产扫描、防病毒/反恶意软件以及已识别漏洞的修复/风险接受的要求。
Docker 是否对第三方进行风险评估?
是的,Docker 在入职所有新的适用第三方时,会进行供应商尽职调查。这会分析每个供应商的风险。审查包括检查合规性证明(例如,SOC 2、ISO 27001、PCI)和其他安全/合规性相关文档。
Docker 是否提供 24/7 安全监控?
是的。Docker 对关键和高风险安全事件进行 24/7 监控和警报。警报记录在我们的 SIEM 工具中。高危和关键事件将路由到我们的安全值班工具。
Docker 是否有安全软件开发生命周期 (SSDLC) 策略?
是的。Docker 拥有正式的 SSDLC 策略,该策略定义了安全和隐私的要求。所有新的 Docker 产品和功能都必须经过安全和合规性审查。Docker 还遵循 OWASP 最佳实践。
Docker 是否对传输中和静止状态下的数据进行加密?
是的。所有数据在传输中和静止状态下都经过加密。Docker 利用 TLS 1.2 或更高版本、AES-256 等。
Docker 是否对员工进行背景调查?
是的。Docker 在当地法律允许的情况下,在所有适用员工入职前进行背景调查。这包括就业、犯罪、职业、学术和推荐。
Docker 是否拥有正式的入职、离职、访问权限分配和取消分配流程?
是的。Docker 拥有记录在案、已批准并已传达的人力资源招聘以及入职、离职和访问控制策略。当员工被解雇时,Docker 会在 24 小时内取消其访问权限。我们还会根据需要对调职和工作职能变更进行访问权限更改。
Docker 员工可以访问客户数据吗?
是的。但只有授权的 Docker 员工和承包商才能根据其工作职责按需和适当地访问范围数据。Docker 基于最小权限原则提供访问权限。
