Dockerでは、誰もがセキュリティに責任を持つと信じています。 Dockerには、組織内およびDocker製品全体のサイバーセキュリティを担当する経営幹部がサポートする、コラボレーション可能なチームがあります。 このチームは、情報セキュリティ、セキュリティエンジニアリング、IT、データ、運用、GRCのリソースで構成されています。

このグループは、社内および製品のセキュリティイニシアチブを推進し、監査、インシデントおよび脆弱性の管理、製品、プロジェクト、ベンダーなどのセキュリティレビューで協力します。

• セキュリティ
• Docker Desktop リリースノート
• Docker Engine リリースノート
• Docker Compose リリースノート
• ビルドのリリースノート
• Docker Hub リリースノート
• Scoutリリースノート

はい。Dockerには、文書化された情報セキュリティポリシーがあり、その範囲には多くのサブポリシーがある包括的な包括的なポリシーがあります。 多くのポリシーをまとめて、当社の情報セキュリティ管理システム(ISMS)を構成しています。

Dockerは、自動化された継続的なテストのためにコンプライアンスツールを利用します。 リスクレベルに基づいて統制を定期的にテストしますが、すべての統制は少なくとも年に1回テストされます。

Dockerは、評判の良いサードパーティが当社製品の侵入テストを毎年実施しています。 Docker Hub、Docker Desktop、Docker Scout、Build Cloudは定期的にテストされています。 テストの概要と修復状態レポートは、NDA に基づいてお客様に提供されます。

Dockerは、Whisticプラットフォーム上のセキュリティプロファイルを通じて、NDAに基づくお客様や見込み客とセキュリティポリシーのTOCを共有します。お客様は、ドキュメンテーションリクエストを送信することでWhisticにアクセスできます。

Docker には脆弱性管理ポリシーがあり、資産スキャン、ウイルス対策/マルウェア対策、特定された脆弱性の修復/リスク受け入れの要件が含まれています。

はい、Dockerは、該当するすべての新しいサードパーティのオンボーディングの一環として、ベンダーのデューデリジェンスレビューを実施します。 これにより、各ベンダーのリスクが分析されます。 レビューには、コンプライアンス証明(SOC 2、ISO 27001、PCIなど)およびその他のセキュリティ/コンプライアンス関連文書の検査が含まれます。

はい。Dockerは、重大でリスクの高いセキュリティイベントを24時間週7日監視およびアラートします。 アラートはSIEMツールに記録されます。 重大イベントや重大イベントは、セキュリティ オンコール ツールにルーティングされます。

はい。Docker には、セキュリティとプライバシーの要件を定義する正式な SSDLC ポリシーがあります。 すべての新しい Docker 製品と機能は、セキュリティとコンプライアンスのレビューを受ける必要があります。 Docker は OWASP のベスト プラクティスにも従っています。

はい。 すべてのデータは、転送中および保存中に暗号化されます。 Docker は、TLS 1.2 以降、AES-256 などを利用します。

はい。Dockerは、現地の法律で許可されている場合、雇用前に該当するすべての従業員の身元調査を実施します。 これには、雇用、犯罪、専門職、学術、および参照が含まれます。

はい。Dockerは、人事採用、オンボーディング、オフボーディング、アクセス制御ポリシーを文書化、承認、伝達しています。 担当者が解雇されると、Docker は 24 時間以内にアクセスを削除します。 また、必要に応じて、異動や職務変更のためのアクセス変更も行います。

はい。 ただし、権限のあるDockerの従業員と請負業者のみが、職務責任に基づいて必要に応じて必要に応じてスコープデータにアクセスできます。 Dockerは、最小特権の原則に基づいてアクセスをプロビジョニングします。