一般安全常见问题解答

如果您发现 Docker 中的安全漏洞，我们鼓励您负责任地报告该漏洞。向security@docker.com报告安全问题，以便我们的团队能够快速解决这些问题。

密码经过加密和盐散列处理。如果您使用应用程序级密码而不是 SSO，您有责任确保您的员工知道如何选择强密码，不共享密码，并且不在多个系统中重复使用密码。

不需要定期重置密码。 NIST 不再建议将密码重置作为最佳实践的一部分。

Docker Hub 的系统锁定全局设置是在 5 分钟内尝试登录 10 次失败后，锁定持续时间为 5 分钟。相同的全局策略适用于经过身份验证的 Docker Desktop 用户和 Docker Scout，两者都使用 Docker Hub 进行身份验证。

您可以使用 IdP 通过 SSO 进行配置。请咨询您的 IdP 是否支持物理 MFA。

Docker Desktop 在用户登录后使用令牌来管理会话。Docker Desktop 在 90 天或 30 天不活动后将您注销。

在 Docker Hub 中，您需要在 24 小时后重新进行身份验证。如果用户使用 SSO 进行身份验证，则会遵守 IdP 的默认会话超时。

不支持每个组织的会话自定义设置。

Docker Desktop 下载通过包含客户域的用户电子邮件链接到特定组织。此外，我们使用 IP 地址将用户与组织关联起来。

我们使用第三方数据丰富软件将用户及其 IP 地址归因于域，我们的提供商分析与该特定 IP 地址相关的公共和私有数据源的活动，然后使用该活动来识别域并将其映射到 IP 地址。

一些用户通过登录 Docker Desktop 并加入其域的 Docker 组织进行身份验证，这使我们能够以更高的准确度映射他们，并为您报告直接功能使用情况。我们强烈建议您对您的用户进行身份验证，以便我们可以为您提供最准确的数据。

在 Docker 中设置的组织使用经过验证的域，并且任何具有经过验证的电子邮件域之外的电子邮件域的团队成员都会在该组织中被标记为“访客”。

Docker提供了多种类型的审计日志，日志保留方式也各不相同。例如，Docker Hub 活动日志的有效期为 90 天。您负责将日志导出或将驱动程序设置到他们自己的内部系统。

使用导出成员功能，您可以将包含角色和团队信息的组织用户列表导出为 CSV。

Docker Desktop 利用主机操作系统的安全密钥管理来处理和存储对映像注册表进行身份验证所需的身份验证令牌。在 macOS 上，这是 Keychain；在 Windows 上，这是通过 Wincred 的安全和身份 API；在 Linux 上，这是 Pass。

这仅在使用 Docker Hub 的应用程序级密码与 SSO/SAML 时适用。使用 SSO 时，Docker Hub 不存储密码。应用程序级密码在存储中进行哈希处理 (SHA-256) 并在传输中进行加密 (TLS)。

如果未启用 SCIM，您必须从我们系统中的组织中手动删除 PAT 用户。使用 SCIM 可以自动执行此操作。

有关 Docker Scout 存储的元数据的信息，请参阅数据处理。

文件共享（从主机文件系统绑定挂载）使用用户空间制作的文件服务器（com.docker.backend作为运行 Docker Desktop 的用户运行），因此容器无法获得主机上的用户尚未拥有的任何访问权限。

扩展程序的安全审查已列入我们的路线图，但目前尚未完成此审查。

扩展不属于 Docker 第三方风险管理计划的一部分。

不需要。通过注册表访问管理(RAM)，管理员可以确保使用 Docker Desktop 的开发人员仅访问允许的注册表。这是通过 Docker Hub 上的注册表访问管理仪表板完成的。