漏洞披露政策
在 Docker,我们非常重视安全,并将其视为重中之重。如果您在 Docker 的产品和服务中发现了安全漏洞,我们鼓励您负责任地将其报告给 [email protected]。
范围
我们也接受并高度重视关于 Docker Hub、Docker Scout、Docker Build Cloud、TestContainers、Docker Desktop、Docker 在 Docker Desktop Marketplace 中发布的扩展以及 Docker 维护的开源项目中安全问题的报告。对于任何非 Docker 拥有的扩展中的安全问题,请改为联系相应的供应商。
域名
- docker.com
- www.docker.com
- hub.docker.com
- build.docker.com
- *.docker.com
- *.docker.io
范围排除
以下安全测试和报告被视为超出范围
- 第三方网站和依赖项中的漏洞,以及用于维护和构建 Docker OSS 的服务或平台(例如 CI/CD 系统、包管理器)
- 社会工程
- 拒绝服务
- 暴力破解攻击
- 未证明影响的信息泄露
- 仅限于过时浏览器版本的漏洞
- 强化技巧和非默认的不安全配置
指南
根据本政策,
- 在您发现属于计划范围的安全问题后,尽快通知 Docker。
- 尽一切努力避免侵犯隐私、降低用户体验、中断生产系统以及破坏或操纵非您自身的数据。
- 仅在必要时使用漏洞利用来确认漏洞的存在。请勿使用漏洞利用来破坏或泄露数据、建立持久性或使用漏洞利用“转向”其他系统。
- 在公开披露之前,请为 Docker 提供合理的时间来解决问题。
- 您不会故意危害 Docker 客户、Docker 人员或任何第三方的隐私。
- 您不会故意危害 Docker 人员或实体或任何第三方的知识产权或其他商业或财务利益。
- 在执行安全测试时,请仅针对您自己的帐户,并且不要执行任何泄露、危害或破坏其他用户数据的活动。
漏洞报告
如果您在上述范围内发现了漏洞,请保持报告简洁,包括
- 问题的描述、影响和重现步骤
- 错误位置(域名、URL、应用程序、OSS 存储库等)
- 受影响的版本和平台(在适用情况下)
- 一个良性的、非破坏性的概念证明,证明漏洞的影响,而不会造成中断或声誉损害
请注意,我们只能回答技术漏洞报告。非安全错误和合规性相关查询应改为发送到 [email protected]。
Docker 的预期响应
Docker 将在两个工作日内对报告做出初步回复。
Docker 安全团队可以为 Docker 软件中的问题分配 CVE 编号。Docker 保留决定是否需要 CVE 的权利。
对于尚未公开的问题,我们将根据需要遵守任何禁运令(作为 Docker 负责任披露政策的一部分,禁运令设定为 90 天)。如果其他方在商定的禁运日期之前披露了该问题,或者存在滥用的证据,我们保留在禁运期届满前发布修复程序的权利。
Docker 提供了一个私密的漏洞赏金计划,将为报告者提供针对严重和高风险漏洞的礼品。为了获得资格,报告者必须遵守本政策和规定的准则。Docker 还将通过在安全发布页面、GitHub XXXX 和 Docker 名人堂页面上提及的方式提供公开认可。
在出现多个报告的情况下,将向第一个报告漏洞的研究人员授予奖励。
安全港
为了鼓励研究和负责任地披露安全漏洞,Docker 不会对意外违反 Docker 漏洞披露政策的行为采取民事或刑事诉讼,或发送执法人员。在任何不遵守规定的情况下,Docker 保留其所有合法权利。
您不得对 Docker 产品和服务进行任何违反法律、扰乱生产系统可用性或损坏或损害任何非您自身数据的安全测试。
第三方安全港
第三方依赖项在本计划范围内。如果您在第三方依赖项中发现安全漏洞,请先将其漏洞披露发送给易受攻击软件包的所有者,并确保在告知我们问题详细信息之前已在源头上解决了该问题。
如果将第三方依赖项漏洞报告给 Docker,我们将指导您与第三方所有者共享。请参阅第三方的漏洞披露政策和安全港承诺,以确保您遵守规定。
常见问题
问:Docker 是否有付费漏洞赏金计划?
答:目前,我们没有付费漏洞赏金计划。但是,如果您是第一个报告可验证的安全漏洞的人,我们将发送礼品并公开认可您。
问:我可以在何时公开分享我发现的漏洞信息?
答:请将您发现的任何漏洞的信息保密,直到我们最多有 90 天的时间来解决该问题,这符合行业标准做法。