Docker 的安全性
Docker 致力於建立客戶信任,證明我們的產品安全可靠。當您管理所有開發人員需求時,您可以放心,您的資料掌握在可靠的手中。
網路安全需要社群共同努力
網路安全是共同的責任。Docker 提供企業級安全功能、合規性稽核、隱私保護和可配置的安全設定,以支援您公司的需求。客戶也有責任實施安全控制和最佳實務,以加強 Docker 產品的使用安全。
安全資料
回報漏洞
如果您在 Docker 中發現安全漏洞,我們鼓勵您負責任地回報。請將安全問題回報至 [email protected],以便我們的團隊可以快速處理。請閱讀 Docker 的漏洞揭露政策。
安全常見問題
誰負責 Docker 的資訊安全?
在 Docker,我們相信每個人都對安全負責。Docker 擁有一個由高階管理層支援的跨部門協作團隊,負責組織內部和 Docker 產品的網路安全。該團隊由資訊安全、安全工程、IT、資料、營運和 GRC 資源組成。
該團隊推動內部和產品安全措施,並在稽核、事件和漏洞管理、產品、專案、供應商的安全審查等方面進行協作。
我在哪裡可以找到 Docker 產品的安全通知?
Docker 是否有資訊安全政策?
是的。Docker 有一個文件化的資訊安全政策,這是一個涵蓋許多子政策的總體性政策。許多政策共同構成了我們的資訊安全管理系統 (ISMS)。
Docker 多久測試一次安全控制?
Docker 使用合規性工具進行自動化、持續的測試。我們會根據風險等級定期測試控制措施,但所有控制措施至少每年測試一次。
滲透測試多久執行一次?報告是否可用?
Docker 聘請信譽良好的第三方對我們的產品進行年度滲透測試。Docker Hub、Docker Desktop、Docker Scout 和 Build Cloud 均定期接受測試。測試摘要和修復狀態報告可根據 NDA 提供給客戶。
如何存取 Docker 的安全政策文件?
Docker 通過 Whistic 平台上的安全設定檔,根據 NDA 與客戶和潛在客戶分享安全政策目錄。客戶可以通過 提交文件請求 來存取 Whistic。
Docker 是否有漏洞管理政策?
Docker 有一個漏洞管理政策,其中包含資產掃描、防毒/防惡意軟體以及已識別漏洞的修復/風險接受的要求。
Docker 是否對第三方執行風險評估?
是的,Docker 在所有新的適用第三方加入時,都會執行供應商盡職調查審查。這會分析每個供應商的風險。審查包括檢查合規性證明(例如 SOC 2、ISO 27001、PCI)和其他與安全/合規性相關的文件。
Docker 是否提供 24/7 全天候安全監控?
是的。Docker 提供 24/7 全天候監控和關鍵及高風險安全事件的警示。警示會記錄在我們的 SIEM 工具中。高風險和關鍵事件會路由到我們的值班安全工具。
Docker 是否有安全軟體開發生命週期 (SSDLC) 政策?
是的。Docker 有一個正式的 SSDLC 政策,定義了安全和隱私的要求。所有新的 Docker 產品和功能都必須經過安全和合規性審查。Docker 也遵循 OWASP 最佳實務。
Docker 是否加密傳輸中和靜態資料?
是的。所有資料在傳輸中和靜態時都會加密。Docker 使用 TLS 1.2 或更高版本、AES-256 等。
Docker 是否對員工進行背景調查?
是的。在當地法律允許的情況下,Docker 會在所有適用員工受僱前對其進行背景調查。這包括就業、犯罪、專業、學歷和參考資料。
Docker 是否有正式的 onboarding、offboarding、存取佈建和取消佈建流程?
是的。Docker 擁有文件化、核准和傳達的人力資源招募,以及 onboarding、offboarding 和存取控制政策。當員工離職時,Docker 會在 24 小時內移除其存取權限。我們還會根據需要更改調動和職能變更的存取權限。
Docker 員工可以存取客戶資料嗎?
是的。但只有經過授權的 Docker 員工和承包商才能根據其工作職責,在必要和適當的情況下存取範圍內的資料。Docker 根據最小權限原則佈建存取權限。
