脆弱性開示ポリシー
Dockerでは、セキュリティを真剣に受け止め、最優先事項と考えています。 Dockerの製品やサービスのいずれかにセキュリティの脆弱性を発見した場合は、責任を持って [email protected]に報告することをお勧めします。
スコープ
Docker Hub、Docker Scout、Docker Build Cloud、TestContainers、Docker Desktop、Docker Desktop MarketplaceでDockerが公開しているDocker拡張機能、およびDockerが管理しているオープンソースプロジェクトのセキュリティ問題に関するレポートも受け入れられ、高く評価されています。 Dockerが所有していない拡張機能のセキュリティ問題については、代わりにそれぞれのベンダーにお問い合わせください。
ドメイン:
- docker.com
- www.docker.com
- hub.docker.com
- build.docker.com
- *.docker.com
- *.docker.io
スコープの除外
以下のセキュリティー・テストおよびレポートは、範囲外と見なされます。
- 3rdパーティのWebサイトと依存関係、およびDocker OSSの保守と構築に使用されるサービスまたはプラットフォームの脆弱性(例:CI/CDシステム、パッケージマネージャー)
- ソーシャルエンジニアリング
- サービス拒否
- ブルートフォース攻撃
- 実証された影響のない情報開示
- 古いバージョンのブラウザに限定された脆弱性
- セキュリティ強化のヒントと既定以外の安全でない構成
ガイドライン
このポリシーでは、
- プログラムのスコープ内にあるセキュリティの問題を発見したら、できるだけ早く Docker に通知します。
- プライバシーの侵害、ユーザーエクスペリエンスの低下、運用システムの中断、および自分のものではないデータの破壊または操作を回避するためにあらゆる努力をしてください。
- エクスプロイトは、脆弱性の存在を確認するために必要な範囲でのみ使用してください。 エクスプロイトを使用して、データの侵害や流出、永続性の確立、またはエクスプロイトを使用して他のシステムに「ピボット」しないでください。
- 問題を公に開示する前に、問題を解決するための妥当な時間を Docker に与えてください。
- お客様は、Dockerのお客様、Dockerの担当者、または第三者のプライバシーを故意に侵害してはなりません。
- お客様は、Dockerの人員または団体、または第三者の知的財産またはその他の商業的または金銭的利益を意図的に侵害してはなりません。
- セキュリティテストを実施する際は、自分のアカウントのみを対象とし、他のユーザーのデータを明らかにしたり、侵害したり、破損させたりするような行為は行わないでください。
脆弱性の報告
上記の範囲内で脆弱性を発見した場合は、以下を含め、報告を簡潔にしてください。
- 説明、影響、問題を再現する手順
- バグの場所(ドメイン、URL、アプリケーション、OSSリポジトリなど)
- 影響を受けるバージョンとプラットフォーム(該当する場合)
- 混乱や風評被害を引き起こすことなく脆弱性の影響を実証する、無害で非破壊的な概念実証
なお、技術的な脆弱性の報告にはお答えします。 セキュリティ以外のバグやコンプライアンス関連のクエリは、代わりに [email protected]に送信する必要があります。
Dockerに期待すること
Docker は、2 営業日以内にレポートに対する最初の応答を提供します。
Dockerセキュリティチームは、Dockerソフトウェアの問題にCVE番号を割り当てることができます。 Dockerは、CVEが必要かどうかを判断する権利を留保します。
一般に知られていない問題については、必要に応じて禁止措置を遵守します(Dockerの責任ある開示ポリシーの一環として、 90 日間の禁止措置が設定されているため)。 当社は、合意された公開禁止日より前に他の当事者が問題を開示した場合、または不正使用の証拠がある場合、禁止措置の期限が切れる前に修正プログラムをリリースする権利を留保します。
Dockerはプライベートなバグバウンティプログラムを提供しており、重大でリスクの高い脆弱性のスグッズをレポーターに提供します。 報告者が資格を得るには、このポリシーとガイドラインを遵守する必要があります。 Dockerは、セキュリティリリースページ、GitHub XXXX、およびDocker Hall of Fameページでの言及を通じて、パブリッククレジットも提供します。
複数の報告があった場合は、脆弱性を最初に報告した研究者にクレジットが発行されます。
セーフハーバー
セキュリティ脆弱性の調査と責任ある開示を奨励するために、Dockerは民事または刑事訴訟を追求したり、Dockerの脆弱性開示ポリシーの偶発的な信仰違反に対して強制送付したりすることはありません。 Dockerは、コンプライアンス違反が発生した場合に、そのすべての法的権利を留保します。
法律に違反している、本番システムの可用性を妨害する、または自分のものではないデータを破損または侵害するDocker製品およびサービスに対してセキュリティテストを実行し てはなりません 。
第三者のセーフハーバー
サード パーティの依存関係は、このプログラムのスコープ内にあります。 サードパーティの依存関係にセキュリティの脆弱性を特定した場合は、問題の詳細をお知らせする前に、まず脆弱なパッケージの所有者に脆弱性の開示を送信し、問題がアップストリームで対処されていることを確認してください。
サードパーティの依存関係の脆弱性がDockerに報告された場合は、サードパーティの所有者と共有するように指示されます。 サードパーティの脆弱性開示ポリシーとセーフハーバーコミットメントを参照して、コンプライアンスを確保してください。
よくある質問
Q: Docker には有料のバグ報奨金プログラムがありますか?
A: 現時点では、有料のバグ報奨金プログラムはありません。 ただし、スワッグは送付され、検証可能なセキュリティの脆弱性を最初に報告した場合は、公開されます。
Q: 発見した脆弱性に関する情報はいつ公開できますか?
A: 業界標準の慣行に従って、問題を解決するために最大 90 日が経過するまで、発見した脆弱性に関する情報を秘密にしてください。