サインイン 今すぐ始める
グレー

脆弱性開示ポリシー

Dockerではセキュリティを真剣に考えており、最優先事項と考えています。もしDockerの製品やサービスにセキュリティの脆弱性を発見した場合は、責任を持って security@docker.com に報告することを推奨します。

スコープ

Docker Hub、Docker Scout、Docker Build Cloud、Docker Hardened Images、TestContainers、Docker Desktop、Docker Marketplaceで公開されたDocker拡張機能に関するセキュリティ問題に関するレポート。Dockerが管理するオープンソースプロジェクトのレポートも受け入れられており、非常に感謝されています。Dockerが所有していない拡張機能のセキュリティ問題については、該当するベンダーにお問い合わせください。

ドメイン:

  • docker.com
  • www.docker.com
  • app.docker.com
  • hub.docker.com
  • build.docker.com
  • scout.docker.com
  • *.docker.com
  • *.docker.io
  • dhi.io

スコープの除外

以下のセキュリティー・テストおよびレポートは、範囲外と見なされます。

  • 3rdパーティのWebサイトと依存関係、およびDocker OSSの保守と構築に使用されるサービスまたはプラットフォームの脆弱性(例:CI/CDシステム、パッケージマネージャー)
  • ソーシャルエンジニアリング
  • サービス拒否
  • ブルートフォース攻撃
  • 実証された影響のない情報開示
  • 古いバージョンのブラウザに限定された脆弱性
  • セキュリティ強化のヒントと既定以外の安全でない構成

ガイドライン

このポリシーでは、

  • プログラムのスコープ内にあるセキュリティの問題を発見したら、できるだけ早く Docker に通知します。
  • プライバシーの侵害、ユーザーエクスペリエンスの低下、運用システムの中断、および自分のものではないデータの破壊または操作を回避するためにあらゆる努力をしてください。
  • エクスプロイトは、脆弱性の存在を確認するために必要な範囲でのみ使用してください。 エクスプロイトを使用して、データの侵害や流出、永続性の確立、またはエクスプロイトを使用して他のシステムに「ピボット」しないでください。
  • 問題を公に開示する前に、問題を解決するための妥当な時間を Docker に与えてください。
  • お客様は、Dockerのお客様、Dockerの担当者、または第三者のプライバシーを故意に侵害してはなりません。
  • お客様は、Dockerの人員または団体、または第三者の知的財産またはその他の商業的または金銭的利益を意図的に侵害してはなりません。
  • セキュリティテストを実施する際は、自分のアカウントのみを対象とし、他のユーザーのデータを明らかにしたり、侵害したり、破損させたりするような行為は行わないでください。

脆弱性の報告

上記の範囲内で脆弱性を発見した場合は、以下を含め、報告を簡潔にしてください。

  • 説明、影響、問題を再現する手順
  • バグの場所(ドメイン、URL、アプリケーション、OSSリポジトリなど)
  • 影響を受けるバージョンとプラットフォーム(該当する場合)
  • 混乱や風評被害を引き起こすことなく脆弱性の影響を実証する、無害で非破壊的な概念実証

なお、技術的な脆弱性報告のみに回答可能です。セキュリティ以外のバグやコンプライアンス関連の問い合わせは、代わりに support@docker.com に向けるべきです。

Dockerに期待すること

Dockerは有効な技術的脆弱性報告に対して3営業日以内に初期対応を提供します。

DockerはCVEナンバリングオーソリティ(CNA)であり、すべてのDockerソフトウェアの問題に対してCVE番号を割り当てます。公に知られていない問題については、必要に応じてエンバーゴ(禁止措置)を遵守します(Dockerの責任ある開示ポリシーの一環として、エンバーゴは 90 日間に設定されています)。他者が合意されたエンバーゴ期限前に問題を開示した場合、または乱用の証拠がある場合、エンバーゴが終了する前に修正を公開する権利を留保します。

Dockerはプライベートなバグバウンティプログラムを提供しており、記者に重要かつ高リスクの脆弱性に関するグッズを提供します。対象となるには、記者はこの方針とガイドラインを遵守しなければなりません。Dockerはまた、セキュリティリリースページ、GitHubセキュリティアドバイザリー、またはDocker殿堂ページでの言及を通じて、公的なクレジットを提供します。

セーフハーバー

セキュリティ脆弱性の調査と責任ある開示を奨励するために、Dockerは民事または刑事訴訟を追求したり、Dockerの脆弱性開示ポリシーの偶発的な信仰違反に対して強制送付したりすることはありません。 Dockerは、コンプライアンス違反が発生した場合に、そのすべての法的権利を留保します。

Docker製品およびサービスに対して、法律に違反したり、本番システムの可用性を中断したり、自分のものではないデータを破損または侵害したりするセキュリティテストを実行してはなりません

第三者のセーフハーバー

サード パーティの依存関係は、このプログラムのスコープ内にあります。 サードパーティの依存関係にセキュリティの脆弱性を特定した場合は、問題の詳細をお知らせする前に、まず脆弱なパッケージの所有者に脆弱性の開示を送信し、問題がアップストリームで対処されていることを確認してください。

サードパーティ依存脆弱性がDockerに報告された場合は、第三者所有者に共有するよう指示します。第三者の脆弱性開示ポリシーおよびセーフハーバーの約束をご参照し、遵守しているか確認してください。

よくある質問

Q: Docker には有料のバグ報奨金プログラムがありますか?

A: 現時点では、有料のバグ報奨金プログラムはありません。 ただし、スワッグは送付され、検証可能なセキュリティの脆弱性を最初に報告した場合は、公開されます。

Q: 発見した脆弱性に関する情報はいつ公開できますか?

A: 業界標準の慣行に従って、問題を解決するために最大 90 日が経過するまで、発見した脆弱性に関する情報を秘密にしてください。