Ultralytics Sicherheitsrichtlinie
Bei Ultralytics hat die Sicherheit der Daten und Systeme unserer Benutzer höchste Priorität. Um die Sicherheit unserer Open-Source-Projekte zu gewährleisten, haben wir verschiedene Maßnahmen implementiert, um Sicherheitslücken zu erkennen und zu verhindern.
Snyk-Scanning
Wir verwenden Snyk, um umfassende Sicherheitsüberprüfungen in Ultralytics-Repositories durchzuführen. Die robusten Scanfunktionen von Snyk gehen über die Überprüfung von Abhängigkeiten hinaus; es untersucht auch unseren Code und unsere Dockerfiles auf verschiedene Schwachstellen. Durch die proaktive Identifizierung und Behebung dieser Probleme gewährleisten wir ein höheres Maß an Sicherheit und Zuverlässigkeit für unsere Benutzer.
GitHub CodeQL Scanning
Unsere Sicherheitsstrategie umfasst das CodeQL-Scanning von GitHub. CodeQL dringt tief in unsere Codebasis ein und identifiziert komplexe Schwachstellen wie SQL-Injection und XSS, indem es die semantische Struktur des Codes analysiert. Dieses fortgeschrittene Analyselevel gewährleistet die frühzeitige Erkennung und Behebung potenzieller Sicherheitsrisiken.
GitHub Dependabot Alerts
Dependabot ist in unseren Workflow integriert, um Abhängigkeiten auf bekannte Schwachstellen zu überwachen. Wenn eine Schwachstelle in einer unserer Abhängigkeiten identifiziert wird, benachrichtigt uns Dependabot, was schnelle und fundierte Abhilfemaßnahmen ermöglicht.
GitHub Secret Scanning Alerts
Wir verwenden GitHub Secret Scanning-Benachrichtigungen, um sensible Daten wie Anmeldeinformationen und private Schlüssel zu erkennen, die versehentlich in unsere Repositories übertragen wurden. Dieser Mechanismus zur Früherkennung hilft, potenzielle Sicherheitsverletzungen und Datenverluste zu verhindern.
Private Meldung von Sicherheitslücken
Wir ermöglichen die private Meldung von Sicherheitslücken, sodass Benutzer potenzielle Sicherheitsprobleme diskret melden können. Dieser Ansatz fördert die verantwortungsvolle Offenlegung und stellt sicher, dass Sicherheitslücken sicher und effizient behandelt werden.
Wenn Sie eine Sicherheitslücke in einem unserer Repositories vermuten oder entdecken, teilen Sie uns dies bitte umgehend mit. Sie können uns direkt über unser Kontaktformular oder über security@ultralytics.com erreichen. Unser Sicherheitsteam wird dies untersuchen und so schnell wie möglich antworten.
Wir freuen uns über Ihre Hilfe, alle Ultralytics Open-Source-Projekte für alle sicher zu halten 🙏.
FAQ
Welche Sicherheitsmaßnahmen werden von Ultralytics zum Schutz der Benutzerdaten implementiert?
Ultralytics setzt eine umfassende Sicherheitsstrategie ein, um Benutzerdaten und Systeme zu schützen. Zu den wichtigsten Maßnahmen gehören:
- Snyk-Scans: Führt Sicherheitsüberprüfungen durch, um Schwachstellen in Code und Dockerfiles zu erkennen.
- GitHub CodeQL: Analysiert die Codesemantik, um komplexe Schwachstellen wie SQL-Injection zu erkennen.
- Dependabot-Benachrichtigungen: Überwacht Abhängigkeiten auf bekannte Schwachstellen und sendet Benachrichtigungen zur schnellen Behebung.
- Geheimnis-Scanning: Erkennt sensible Daten wie Anmeldeinformationen oder private Schlüssel in Code-Repositories, um Datenschutzverletzungen zu verhindern.
- Private Meldung von Schwachstellen: Bietet einen sicheren Kanal für Benutzer, um potenzielle Sicherheitsprobleme diskret zu melden.
Diese Tools gewährleisten die proaktive Identifizierung und Behebung von Sicherheitsproblemen und verbessern so die allgemeine Systemsicherheit. Weitere Informationen finden Sie in unserer Exportdokumentation.
Wie verwendet Ultralytics Snyk für Sicherheits-Scans?
Ultralytics verwendet Snyk, um gründliche Sicherheitsüberprüfungen seiner Repositories durchzuführen. Snyk geht über grundlegende Abhängigkeitsprüfungen hinaus und untersucht den Code und die Dockerfiles auf verschiedene Schwachstellen. Durch die proaktive Identifizierung und Behebung potenzieller Sicherheitsprobleme trägt Snyk dazu bei, dass die Open-Source-Projekte von Ultralytics sicher und zuverlässig bleiben.
Um das Snyk-Badge anzuzeigen und mehr über seine Bereitstellung zu erfahren, lesen Sie den Abschnitt Snyk-Scanning.
Was ist CodeQL und wie verbessert es die Sicherheit für Ultralytics?
CodeQL ist ein Tool zur Sicherheitsanalyse, das über GitHub in den Workflow von Ultralytics integriert ist. Es dringt tief in die Codebasis ein, um komplexe Schwachstellen wie SQL-Injection und Cross-Site Scripting (XSS) zu identifizieren. CodeQL analysiert die semantische Struktur des Codes, um ein fortschrittliches Sicherheitsniveau zu gewährleisten und eine frühzeitige Erkennung und Minderung potenzieller Risiken zu ermöglichen.
Weitere Informationen zur Verwendung von CodeQL finden Sie im Abschnitt GitHub CodeQL Scanning section.
Wie hilft Dependabot bei der Aufrechterhaltung der Codesicherheit von Ultralytics?
Dependabot ist ein automatisiertes Tool, das Abhängigkeiten auf bekannte Schwachstellen überwacht und verwaltet. Wenn Dependabot eine Schwachstelle in einer Ultralytics-Projektabhängigkeit entdeckt, sendet es eine Warnung, die es dem Team ermöglicht, das Problem schnell zu beheben und zu entschärfen. Dies stellt sicher, dass Abhängigkeiten sicher und auf dem neuesten Stand gehalten werden, wodurch potenzielle Sicherheitsrisiken minimiert werden.
Weitere Details finden Sie im Abschnitt GitHub Dependabot Alerts.
Wie handhabt Ultralytics die private Meldung von Sicherheitslücken?
Ultralytics ermutigt Benutzer, potenzielle Sicherheitsprobleme über private Kanäle zu melden. Benutzer können Schwachstellen diskret über das Kontaktformular oder per E-Mail an security@ultralytics.com melden. Dies gewährleistet eine verantwortungsvolle Offenlegung und ermöglicht es dem Sicherheitsteam, Schwachstellen sicher und effizient zu untersuchen und zu beheben.
Weitere Informationen zur privaten Schwachstellenmeldung finden Sie im Abschnitt Private Vulnerability Reporting section.