漏洞揭露政策
在 Docker,我們非常重視安全性,並將其視為首要任務。如果您在 Docker 的產品和服務中發現安全漏洞,我們鼓勵您負責任地向 [email protected] 舉報。
範圍
我們也接受並高度讚賞針對 Docker Hub、Docker Scout、Docker Build Cloud、TestContainers、Docker Desktop、Docker 在 Docker Desktop Marketplace 發布的擴充功能以及 Docker 維護的開源專案中安全問題的報告。對於任何非 Docker 擁有的擴充功能中的安全問題,請聯繫相關供應商。
網域
- docker.com
- www.docker.com
- hub.docker.com
- build.docker.com
- *.docker.com
- *.docker.io
範圍排除
以下項目的安全測試和報告被視為超出範圍
- 第三方網站和依賴項中的漏洞,以及用於維護和建構 Docker 開源軟體的服務或平台中的漏洞(例如 CI/CD 系統、套件管理器)
- 社交工程
- 阻斷服務
- 暴力破解攻擊
- 未經證實影響的資訊洩露
- 僅限於過時瀏覽器版本的漏洞
- 強化技巧和非預設的不安全配置
準則
根據本政策,
- 在發現屬於計畫範圍內的安全問題後,應盡快通知 Docker。
- 盡一切努力避免侵犯隱私、降低使用者體驗、中斷生產系統以及銷毀或操縱非您自己的數據。
- 僅在確認漏洞存在所需的範圍內使用漏洞利用。請勿使用漏洞利用來入侵或竊取數據、建立持久性或使用漏洞利用「跳轉」到其他系統。
- 在您公開披露問題之前,請給予 Docker 合理的時間來解決問題。
- 您不得故意損害 Docker 客戶、Docker 人員或任何第三方的隱私。
- 您不得故意損害 Docker 人員或實體或任何第三方的智慧財產權或其他商業或財務利益。
- 執行安全測試時,請僅針對您自己的帳戶,並且不要執行任何會洩露、損害或破壞其他使用者數據的活動。
漏洞報告
如果您發現上述範圍內的漏洞,請保持您的報告簡潔,包括
- 問題的描述、影響和重現步驟
- 錯誤位置(網域、URL、應用程式、開源軟體儲存庫等)
- 受影響的版本和平台(如果適用)
- 一個良性、非破壞性的概念驗證,證明漏洞的影響,而不會造成中斷或聲譽損害
請注意,我們只能回覆技術漏洞報告。非安全錯誤和合規性相關查詢應改為發送至 [email protected]。
Docker 的處理方式
Docker 將在兩個工作日內對報告提供初步回覆。
Docker 安全團隊可以為 Docker 軟體中的問題分配 CVE 編號。Docker 保留決定是否需要 CVE 的權利。
對於尚未公開的問題,我們將在必要時遵守任何禁運期(作為 Docker 負責任的披露政策的一部分,禁運期設定為 90 天)。如果其他方在約定的禁運日期之前披露問題,或者有證據表明存在濫用行為,我們保留在禁運期到期之前發布修補程式的權利。
Docker 提供一個私人漏洞賞金計畫,該計畫將為報告嚴重和高風險漏洞的研究人員提供周邊商品。為了符合資格,報告者必須遵守本政策和制定的準則。Docker 還將通過在安全版本頁面、GitHub XXXX 和 Docker 名人堂頁面上提及來提供公開致謝。
如果有多個報告,則功勞將歸於第一個報告漏洞的研究人員。
安全港
為了鼓勵研究和負責任地披露安全漏洞,Docker 不會對意外違反 Docker 漏洞披露政策的行為提起民事或刑事訴訟,也不會發送強制措施。如果發生任何不合規行為,Docker 保留其所有合法權利。
您不得對 Docker 產品和服務執行任何違反法律、中斷生產系統可用性或損壞或入侵非您自己數據的安全測試。
第三方安全港
第三方依賴項在本計畫的範圍內。如果您在第三方依賴項中發現安全漏洞,請先將您的漏洞披露發送給易受攻擊套件的所有者,並確保在告知我們問題詳情之前先解決上游問題。
如果向 Docker 報告第三方依賴項漏洞,我們將指導您與第三方所有者分享。請參考第三方的漏洞披露政策和安全港承諾,以確保您符合規定。
常見問題
問:Docker 有付費的漏洞賞金計畫嗎?
答:目前,我們沒有付費的漏洞賞金計畫。但是,如果您是第一個報告可驗證安全漏洞的人,我們會贈送周邊商品,並公開致謝。
問:我什麼時候可以公開分享我發現的漏洞資訊?
答:根據業界標準慣例,請在我們有最多 90 天的時間來解決問題之前,對您發現的任何漏洞資訊保密。