Zum Inhalt springen

Ultralytics Sicherheitspolitik

Bei Ultralyticsist die Sicherheit der Daten und Systeme unserer Nutzer von größter Bedeutung. Um die Sicherheit unserer Open-Source-Projekte zu gewährleisten, haben wir verschiedene Maßnahmen ergriffen, um Sicherheitslücken zu erkennen und zu verhindern.

Snyk-Scannen

Wir setzen Snyk ein, um umfassende Sicherheitsscans für Ultralytics Repositories durchzuführen. Die robusten Scan-Funktionen von Snyk gehen über die Überprüfung von Abhängigkeiten hinaus und untersuchen unseren Code und unsere Dockerdateien auf verschiedene Schwachstellen. Indem wir diese Probleme proaktiv erkennen und beheben, gewährleisten wir ein höheres Maß an Sicherheit und Zuverlässigkeit für unsere Benutzer.

ultralytics

GitHub CodeQL-Scanning

Zu unserer Sicherheitsstrategie gehört das CodeQL-Scanning von GitHub. CodeQL dringt tief in unsere Codebasis ein und identifiziert komplexe Schwachstellen wie SQL-Injection und XSS durch Analyse der semantischen Struktur des Codes. Diese fortschrittliche Analysestufe gewährleistet eine frühzeitige Erkennung und Behebung potenzieller Sicherheitsrisiken.

CodeQL

GitHub Dependabot-Benachrichtigungen

Dependabot ist in unseren Workflow integriert, um Abhängigkeiten auf bekannte Schwachstellen zu überwachen. Wenn eine Schwachstelle in einer unserer Abhängigkeiten identifiziert wird, alarmiert uns Dependabot und ermöglicht so rasche und fundierte Abhilfemaßnahmen.

GitHub Secret Scanning-Warnungen

Wir verwenden GitHub-Warnungen zum Scannen von Geheimnissen, um sensible Daten wie Anmeldeinformationen und private Schlüssel zu erkennen, die versehentlich in unsere Repositories übertragen wurden. Dieser Mechanismus zur frühzeitigen Erkennung trägt dazu bei, potenzielle Sicherheitsverletzungen und die Preisgabe von Daten zu verhindern.

Berichterstattung über private Schwachstellen

Wir ermöglichen die Meldung privater Schwachstellen, so dass Benutzer potenzielle Sicherheitsprobleme diskret melden können. Dieser Ansatz erleichtert eine verantwortungsvolle Offenlegung und gewährleistet, dass Schwachstellen sicher und effizient behandelt werden.

Wenn Sie eine Sicherheitslücke in einem unserer Repositories vermuten oder entdecken, informieren Sie uns bitte umgehend. Sie können sich über unser Kontaktformular oder über security@ultralytics.com direkt an uns wenden. Unser Sicherheitsteam wird dem nachgehen und so schnell wie möglich reagieren.

Wir sind Ihnen dankbar, dass Sie uns dabei helfen, alle Ultralytics Open-Source-Projekte für alle sicher zu halten 🙏.

FAQ

Welche Sicherheitsmaßnahmen hat Ultralytics zum Schutz der Nutzerdaten getroffen?

Ultralytics setzt eine umfassende Sicherheitsstrategie zum Schutz von Nutzerdaten und Systemen ein. Zu den wichtigsten Maßnahmen gehören:

  • Snyk-Scans: Führt Sicherheitsscans durch, um Schwachstellen in Code und Dockerdateien zu erkennen.
  • GitHub CodeQL: Analysiert die Codesemantik, um komplexe Schwachstellen wie SQL-Injection zu erkennen.
  • Dependabot-Warnungen: Überwacht Abhängigkeiten auf bekannte Schwachstellen und sendet Warnungen zur raschen Behebung.
  • Geheimes Scannen: Erkennt sensible Daten wie Anmeldeinformationen oder private Schlüssel in Code-Repositories, um Datenverletzungen zu verhindern.
  • Private Schwachstellenmeldung: Bietet einen sicheren Kanal für Benutzer, um potenzielle Sicherheitsprobleme diskret zu melden.

Diese Werkzeuge gewährleisten eine proaktive Identifizierung und Lösung von Sicherheitsproblemen und erhöhen die allgemeine Systemsicherheit. Weitere Einzelheiten finden Sie in unserer Exportdokumentation.

Wie verwendet Ultralytics Snyk für Sicherheitsscans?

Ultralytics nutzt Snyk, um gründliche Sicherheitsscans für seine Repositories durchzuführen. Snyk geht über einfache Abhängigkeitsprüfungen hinaus und untersucht den Code und die Dockerdateien auf verschiedene Sicherheitslücken. Durch proaktives Erkennen und Beheben potenzieller Sicherheitsprobleme trägt Snyk dazu bei, dass die Open-Source-Projekte von Ultralytics sicher und zuverlässig bleiben.

Um das Snyk-Abzeichen zu sehen und mehr über seinen Einsatz zu erfahren, besuchen Sie den Abschnitt Snyk Scanning.

Was ist CodeQL und wie erhöht es die Sicherheit für Ultralytics?

CodeQL ist ein Sicherheitsanalysetool, das über GitHub in den Workflow von Ultralytics integriert ist. Es dringt tief in die Codebasis ein, um komplexe Schwachstellen wie SQL-Injection und Cross-Site Scripting (XSS) zu identifizieren. CodeQL analysiert die semantische Struktur des Codes, um ein fortgeschrittenes Sicherheitsniveau zu bieten, das eine frühzeitige Erkennung und Abschwächung potenzieller Risiken gewährleistet.

Weitere Informationen darüber, wie CodeQL verwendet wird, finden Sie im Abschnitt GitHub CodeQL Scanning.

Wie hilft Dependabot bei der Aufrechterhaltung der Ultralytics' Codesicherheit?

Dependabot ist ein automatisiertes Tool, das Abhängigkeiten auf bekannte Sicherheitslücken hin überwacht und verwaltet. Wenn Dependabot eine Schwachstelle in einer Ultralytics Projektabhängigkeit entdeckt, sendet es eine Warnung, so dass das Team das Problem schnell beheben und entschärfen kann. Auf diese Weise wird sichergestellt, dass die Abhängigkeiten sicher und auf dem neuesten Stand gehalten werden, wodurch potenzielle Sicherheitsrisiken minimiert werden.

Weitere Details finden Sie im Abschnitt GitHub Dependabot Alerts.

Wie geht Ultralytics mit der Meldung privater Schwachstellen um?

Ultralytics ermutigt die Nutzer, potenzielle Sicherheitsprobleme über private Kanäle zu melden. Benutzer können Schwachstellen diskret über das Kontaktformular oder per E-Mail an security@ultralytics.com melden. Dies gewährleistet eine verantwortungsvolle Offenlegung und ermöglicht es dem Sicherheitsteam, Schwachstellen sicher und effizient zu untersuchen und zu beheben.

Weitere Informationen zur Meldung privater Schwachstellen finden Sie im Abschnitt Meldung privater Schwachstellen.

📅 Erstellt vor 1 Jahr ✏️ Aktualisiert vor 2 Monaten
UltralyticsAssistent glenn-jocher