漏洞披露政策
在 Docker,我们非常重视安全,并将其视为重中之重。如果您在 Docker 的产品和服务中发现了安全漏洞,我们鼓励您以负责任的方式向 [email protected] 报告。
范围
我们也接受并高度赞赏针对 Docker Hub、Docker Scout、Docker Build Cloud、TestContainers、Docker 桌面版、Docker 在 Docker 桌面版市场中发布的扩展以及 Docker 维护的开源项目中的安全问题的报告。对于任何不属于 Docker 的扩展中的安全问题,请与相关供应商联系。
域名
- docker.com
- www.docker.com
- hub.docker.com
- build.docker.com
- *.docker.com
- *.docker.io
范围排除
以下安全测试和报告被视为超出范围
- 第三方网站和依赖项以及用于维护和构建 Docker OSS 的服务或平台(例如 CI/CD 系统、包管理器)中的漏洞
- 社会工程学
- 拒绝服务
- 暴力攻击
- 信息泄露,但未证明有影响
- 仅限于过时浏览器版本中的漏洞
- 加固技巧和非默认的不安全配置
指南
根据本政策,
- 在您发现属于该计划范围内的安全问题后,请尽快通知 Docker。
- 尽一切努力避免侵犯隐私、降低用户体验、中断生产系统以及破坏或操纵不属于您自己的数据。
- 仅在必要时使用漏洞利用来确认漏洞的存在。不要使用漏洞利用来损害或窃取数据、建立持久性或使用漏洞利用来“转向”其他系统。
- 在您公开披露漏洞之前,请给予 Docker 合理的时间来解决问题。
- 您不会故意损害 Docker 客户、Docker 人员或任何第三方的隐私。
- 您不会故意损害 Docker 人员或实体或任何第三方的知识产权或其他商业或财务利益。
- 在进行安全测试时,请仅针对您自己的帐户,不要执行任何会泄露、损害或破坏其他用户数据的活动。
漏洞报告
如果您在上面列出的范围内发现了漏洞,请保持您的报告简洁,包括
- 问题的描述、影响和重现步骤
- 错误位置(域名、URL、应用程序、OSS 代码库等)
- 受影响的版本和平台(如适用)
- 一个良性的、非破坏性的概念验证,演示了漏洞的影响,而不会造成中断或声誉损害
请注意,我们只能回答技术漏洞报告。非安全错误和与合规性相关的查询应转至 [email protected]。
对 Docker 的期望
Docker 将在两个工作日内对报告做出初步答复。
Docker 安全团队可以为 Docker 软件中的问题分配 CVE 编号。Docker 保留决定是否需要 CVE 的权利。
对于尚未公开的问题,我们将根据需要遵守任何禁令(作为 Docker 的负责任披露政策的一部分,禁令设定为 90 天)。如果其他方在商定的禁令日期之前披露问题,或者有滥用行为的证据,我们保留在禁令到期之前发布修复程序的权利。
Docker 提供私有的漏洞赏金计划,为报告者提供针对严重和高风险漏洞的奖品。为了符合资格,报告者必须遵守本政策和制定的指南。Docker 还将在安全发布页面、GitHub XXXX 和 Docker 名人堂页面上通过提及提供公开的荣誉。
如果有多个报告,则会向第一个报告漏洞的研究人员颁发荣誉。
安全港
为了鼓励研究和负责任地披露安全漏洞,Docker 不会对意外违反 Docker 漏洞披露政策的行为采取民事或刑事诉讼,或发送执法人员。对于任何不遵守行为,Docker 保留其所有合法权利。
您 **不得** 对 Docker 产品和服务进行任何违反法律、扰乱生产系统可用性或损坏或破坏任何不属于您自己的数据的安全测试。
第三方安全港
第三方依赖项在本计划的范围内。如果您在第三方依赖项中发现安全漏洞,请首先将漏洞披露发送给有漏洞软件包的所有者,并确保在告知我们问题详细信息之前在 upstream 解决问题。
如果向 Docker 报告了第三方依赖项漏洞,我们将指导您与第三方所有者分享。请参考第三方的漏洞披露政策和安全港承诺,以确保您遵守规定。
常见问题解答
问:Docker 有付费的漏洞赏金计划吗?
答:目前我们没有付费的漏洞赏金计划。但是,如果您是第一个报告可验证的安全漏洞的人,我们会赠送奖品,并且会公开承认您的贡献。
问:我什么时候可以公开分享我发现的漏洞信息?
答:请对您发现的任何漏洞信息保密,直到我们根据行业标准惯例最多 90 天的时间来解决该问题。