Seite auf GitHub bearbeiten (EN)

Ultralytics Sicherheitsrichtlinie

Bei Ultralytics hat die Sicherheit der Daten und Systeme unserer Nutzer höchste Priorität. Um die Sicherheit unserer Open-Source-Projekte zu gewährleisten, haben wir verschiedene Maßnahmen implementiert, um Sicherheitslücken zu erkennen und zu verhindern.

Snyk-Scan

Wir verwenden Snyk, um umfassende Sicherheitsscans in den Repositories von Ultralytics durchzuführen. Die robusten Scan-Funktionen von Snyk gehen über die Überprüfung von Abhängigkeiten hinaus; sie untersuchen auch unseren Code und unsere Dockerfiles auf verschiedene Schwachstellen. Indem wir diese Probleme proaktiv identifizieren und beheben, gewährleisten wir ein höheres Maß an Sicherheit und Zuverlässigkeit für unsere Nutzer.

ultralytics

GitHub CodeQL-Scan

Unsere Sicherheitsstrategie umfasst das CodeQL-Scanning von GitHub. CodeQL dringt tief in unsere Codebasis ein und identifiziert komplexe Schwachstellen wie SQL-Injection und XSS durch die Analyse der semantischen Struktur des Codes. Dieses fortgeschrittene Analyselevel stellt die frühzeitige Erkennung und Behebung potenzieller Sicherheitsrisiken sicher.

CodeQL

GitHub Dependabot-Warnungen

Dependabot ist in unseren Workflow integriert, um Abhängigkeiten auf bekannte Schwachstellen zu überwachen. Wenn eine Schwachstelle in einer unserer Abhängigkeiten identifiziert wird, warnt uns Dependabot, was schnelle und informierte Maßnahmen zur Behebung ermöglicht.

GitHub Secret Scanning-Warnungen

Wir nutzen GitHub Secret Scanning-Warnungen, um sensible Daten wie Anmeldeinformationen und private Schlüssel zu erkennen, die versehentlich in unsere Repositories hochgeladen wurden. Dieser Mechanismus zur Früherkennung hilft, potenzielle Sicherheitsverletzungen und Datenlecks zu verhindern.

Private Meldung von Schwachstellen

Wir ermöglichen das private Melden von Schwachstellen, damit Nutzer potenzielle Sicherheitsprobleme diskret an uns weitergeben können. Dieser Ansatz fördert eine verantwortungsbewusste Offenlegung und stellt sicher, dass Schwachstellen sicher und effizient behandelt werden.

Wenn du eine Sicherheitslücke in einem unserer Repositories vermutest oder entdeckst, lass es uns bitte sofort wissen. Du kannst uns direkt über unser Kontaktformular oder per security@ultralytics.com erreichen. Unser Sicherheitsteam wird den Vorfall untersuchen und so schnell wie möglich antworten.

Wir schätzen deine Hilfe dabei, alle Open-Source-Projekte von Ultralytics sicher und geschützt für alle zu halten.

FAQ

Welche Sicherheitsmaßnahmen hat Ultralytics implementiert, um Nutzerdaten zu schützen?

Ultralytics wendet eine umfassende Sicherheitsstrategie an, um Nutzerdaten und Systeme zu schützen. Zu den wichtigsten Maßnahmen gehören:

  • Snyk-Scan: Führt Sicherheitsscans durch, um Schwachstellen im Code und in Dockerfiles zu erkennen.
  • GitHub CodeQL: Analysiert die Codesemantik, um komplexe Schwachstellen wie SQL-Injection zu erkennen.
  • Dependabot-Warnungen: Überwacht Abhängigkeiten auf bekannte Schwachstellen und sendet Warnungen zur schnellen Behebung.
  • Secret Scanning: Erkennt sensible Daten wie Anmeldeinformationen oder private Schlüssel in Code-Repositories, um Datenlecks zu verhindern.
  • Private Meldung von Schwachstellen: Bietet einen sicheren Kanal für Nutzer, um potenzielle Sicherheitsprobleme diskret zu melden.

Diese Tools gewährleisten eine proaktive Identifizierung und Lösung von Sicherheitsproblemen und verbessern die allgemeine Systemsicherheit. Weitere Details findest du in den Abschnitten oben oder indem du dich bei Fragen an das Sicherheitsteam wendest.

Wie nutzt Ultralytics Snyk für Sicherheitsscans?

Ultralytics verwendet Snyk, um gründliche Sicherheitsscans in seinen Repositories durchzuführen. Snyk geht über einfache Abhängigkeitsprüfungen hinaus und untersucht den Code sowie Dockerfiles auf verschiedene Schwachstellen. Indem Snyk potenzielle Sicherheitsprobleme proaktiv identifiziert und löst, trägt es dazu bei, dass die Open-Source-Projekte von Ultralytics sicher und zuverlässig bleiben.

Um das Snyk-Abzeichen zu sehen und mehr über dessen Einsatz zu erfahren, schau dir den Abschnitt Snyk-Scan an.

Was ist CodeQL und wie verbessert es die Sicherheit bei Ultralytics?

CodeQL ist ein Sicherheitsanalysetool, das über GitHub in den Workflow von Ultralytics integriert ist. Es durchsucht die Codebasis eingehend, um komplexe Schwachstellen wie SQL-Injection und Cross-Site Scripting (XSS) zu identifizieren. CodeQL analysiert die semantische Struktur des Codes für ein hohes Sicherheitsniveau, das die frühzeitige Erkennung und Minderung potenzieller Risiken sicherstellt.

Weitere Informationen zum Einsatz von CodeQL findest du im Abschnitt GitHub CodeQL-Scan.

Wie hilft Dependabot dabei, die Codesicherheit von Ultralytics aufrechtzuerhalten?

Dependabot ist ein automatisiertes Tool, das Abhängigkeiten auf bekannte Schwachstellen überwacht und verwaltet. Wenn Dependabot eine Schwachstelle in einer Abhängigkeit eines Ultralytics-Projekts erkennt, sendet es eine Warnung, wodurch das Team das Problem schnell angehen und beheben kann. Dies stellt sicher, dass Abhängigkeiten sicher und auf dem neuesten Stand gehalten werden, was potenzielle Sicherheitsrisiken minimiert.

Weitere Details findest du im Abschnitt GitHub Dependabot-Warnungen.

Wie geht Ultralytics mit privaten Meldungen von Schwachstellen um?

Ultralytics ermutigt Nutzer dazu, potenzielle Sicherheitsprobleme über private Kanäle zu melden. Nutzer können Schwachstellen diskret über das Kontaktformular oder per E-Mail an security@ultralytics.com melden. Dies gewährleistet eine verantwortungsbewusste Offenlegung und ermöglicht es dem Sicherheitsteam, Schwachstellen sicher und effizient zu untersuchen und zu beheben.

Weitere Informationen zur privaten Meldung von Schwachstellen findest du im Abschnitt Private Meldung von Schwachstellen.

Contributors
Seite auf GitHub bearbeiten (EN)
GLglenn-jocher5ONonuralpszr2PDpderrenger1