⚠️ Traduction non officielle - Cette documentation est une traduction communautaire non officielle de Docker.

FAQ générales de sécurité

Table des matières

Comment signaler une vulnérabilité ?

Si vous avez découvert une vulnérabilité de sécurité dans Docker, nous vous encourageons à la signaler de manière responsable. Signalez les problèmes de sécurité à [email protected] afin qu'ils puissent être rapidement traités par notre équipe.

Comment les mots de passe sont-ils gérés lorsque SSO n'est pas utilisé ?

Les mots de passe sont chiffrés et hachés avec salt. Si vous utilisez des mots de passe au niveau de l'application au lieu de SSO, vous êtes responsable de vous assurer que vos employés savent comment choisir des mots de passe forts, ne partagent pas les mots de passe, et ne réutilisent pas les mots de passe sur plusieurs systèmes.

Docker exige-t-il des réinitialisations de mot de passe lorsque SSO n'est pas utilisé ?

Les mots de passe ne sont pas obligés d'être réinitialisés périodiquement. Le NIST ne recommande plus les réinitialisations de mot de passe comme partie des meilleures pratiques.

Docker verrouille-t-il les utilisateurs après des échecs de connexion ?

Le paramètre global de Docker Hub pour le verrouillage système est après 10 tentatives de connexion échouées dans une période de 5 minutes, et la durée de verrouillage est de 5 minutes. La même politique globale s'applique aux utilisateurs Docker Desktop authentifiés et Docker Scout, qui utilisent tous deux Docker Hub pour l'authentification.

Supportez-vous la MFA physique avec YubiKeys ?

Vous pouvez configurer cela via SSO en utilisant votre IdP. Vérifiez avec votre IdP s'ils supportent la MFA physique.

Comment les sessions sont-elles gérées et expirent-elles ?

Par défaut, Docker utilise des jetons pour gérer les sessions après qu'un utilisateur se connecte :

  • Docker Desktop vous déconnecte après 90 jours, ou 30 jours d'inactivité.
  • Docker Hub et Docker Home vous déconnectent après 24 heures.

Docker supporte également le délai d'expiration de session par défaut de votre IdP. Vous pouvez configurer cela en définissant un attribut SAML de minutes de session Docker. Pour plus d'informations, voir Attributs SSO.

Comment Docker attribue-t-il les téléchargements à nous et quelles données sont utilisées pour classifier ou vérifier que l'utilisateur fait partie de notre organisation ?

Les téléchargements Docker Desktop sont liés à une organisation spécifique par l'e-mail de l'utilisateur contenant le domaine du client. De plus, nous utilisons les adresses IP pour corréler les utilisateurs avec les organisations.

Comment attribuez-vous ce nombre de téléchargements à nous à partir des données IP si la plupart de nos ingénieurs travaillent depuis chez eux et ne sont pas autorisés à utiliser des VPN ?

Nous attribuons les utilisateurs et leurs adresses IP aux domaines en utilisant un logiciel d'enrichissement de données tiers, où notre fournisseur analyse l'activité à partir de sources de données publiques et privées liées à cette adresse IP spécifique, puis utilise cette activité pour identifier le domaine et le mapper à l'adresse IP.

Certains utilisateurs s'authentifient en se connectant à Docker Desktop et en rejoignant l'organisation Docker de leur domaine, ce qui nous permet de les mapper avec un degré de précision beaucoup plus élevé et de rapporter l'utilisation directe des fonctionnalités pour vous. Nous vous encourageons fortement à faire authentifier vos utilisateurs pour que nous puissions vous fournir les données les plus précises.

Comment Docker distingue-t-il entre les utilisateurs employés et les utilisateurs contractuels ?

Les organisations configurées dans Docker utilisent des domaines vérifiés et tout membre d'équipe avec un domaine d'e-mail autre que ce qui est vérifié est noté comme un "Invité" dans cette organisation.

Combien de temps les journaux d'activité sont-ils disponibles ?

Docker fournit divers types de journaux d'audit et la rétention des journaux varie. Par exemple, les journaux d'activité Docker sont disponibles pendant 90 jours. Vous êtes responsable d'exporter les journaux ou de configurer des pilotes vers leurs propres systèmes internes.

Puis-je exporter une liste de tous les utilisateurs avec leurs rôles et privilèges assignés et si oui, dans quel format ?

En utilisant la fonctionnalité Exporter les Membres, vous pouvez exporter au format CSV une liste des utilisateurs de votre organisation avec les informations de rôle et d'équipe.

Comment Docker Desktop gère-t-il et stocke-t-il les informations d'authentification ?

Docker Desktop utilise la gestion sécurisée des clés du système d'exploitation hôte pour gérer et stocker les jetons d'authentification nécessaires pour s'authentifier avec les registres d'images. Sur macOS, c'est Keychain ; sur Windows, c'est Security and Identity API via Wincred ; et sur Linux, c'est Pass.

Comment Docker Hub sécurise-t-il les mots de passe en stockage et en transit ?

Ceci s'applique uniquement lors de l'utilisation du mot de passe au niveau de l'application de Docker Hub versus SSO/SAML. Pour les utilisateurs créés via SSO Just-in-Time ou le provisioning SCIM, Docker Hub ne stocke pas les mots de passe. Pour tous les autres utilisateurs, les mots de passe au niveau de l'application sont hachés avec salt en stockage (SHA-256) et chiffrés en transit (TLS).

Comment déprovisionner les utilisateurs qui ne font pas partie de notre IdP ? Nous utilisons SSO mais pas SCIM

Si SCIM n'est pas activé, vous devez supprimer manuellement les utilisateurs de l'organisation. SCIM peut automatiser cela si vos utilisateurs sont ajoutés après que SCIM soit activé. Tous les utilisateurs ajoutés à votre organisation avant que SCIM ne soit activé doivent être supprimés manuellement.

Pour plus d'informations sur la suppression manuelle des utilisateurs, voir Gérer les membres de l'organisation.

Quelles métadonnées sont collectées à partir des images de conteneur que Scout analyse ?

Pour des informations sur les métadonnées stockées par Docker Scout, voir Gestion des données.

Comment les extensions dans la Marketplace sont-elles vérifiées pour la sécurité avant placement ?

La vérification de sécurité pour les extensions est sur notre feuille de route cependant cette vérification n'est pas actuellement effectuée.

Les extensions ne sont pas couvertes dans le cadre du Programme de Gestion des Risques Tiers de Docker.

Puis-je désactiver les dépôts privés dans mon organisation via un paramètre pour m'assurer que personne ne pousse des images dans Docker Hub ?

Non. Avec Gestion d'Accès au Registre (RAM), les administrateurs peuvent s'assurer que leurs développeurs utilisant Docker Desktop n'accèdent qu'aux registres autorisés. Cela se fait via le tableau de bord de Gestion d'Accès au Registre dans la Console d'Administration.