Zum Inhalt springen

Ultralytics Sicherheitspolitik

Bei Ultralyticsist die Sicherheit der Daten und Systeme unserer Nutzer/innen von größter Bedeutung. Um die Sicherheit unserer Open-Source-Projekte zu gewährleisten, haben wir verschiedene Maßnahmen ergriffen, um Sicherheitslücken zu erkennen und zu verhindern.

Snyk Scanning

Wir setzen Snyk ein, um umfassende Sicherheitsscans für Ultralytics Repositories durchzuführen. Die robusten Scan-Funktionen von Snyk gehen über die Prüfung von Abhängigkeiten hinaus und untersuchen auch unseren Code und unsere Dockerdateien auf verschiedene Schwachstellen. Indem wir diese Probleme proaktiv erkennen und beheben, gewährleisten wir ein höheres Maß an Sicherheit und Zuverlässigkeit für unsere Nutzer.

ultralytics

GitHub CodeQL Scanning

Zu unserer Sicherheitsstrategie gehört das CodeQL-Scanning von GitHub. CodeQL dringt tief in unsere Codebasis ein und identifiziert komplexe Schwachstellen wie SQL-Injection und XSS, indem die semantische Struktur des Codes analysiert wird. Diese fortschrittliche Analyse gewährleistet eine frühzeitige Erkennung und Behebung potenzieller Sicherheitsrisiken.

CodeQL

GitHub Dependabot-Benachrichtigungen

Dependabot ist in unseren Workflow integriert, um Abhängigkeiten auf bekannte Schwachstellen zu überwachen. Wenn eine Schwachstelle in einer unserer Abhängigkeiten gefunden wird, alarmiert uns Dependabot und ermöglicht schnelle und fundierte Abhilfemaßnahmen.

GitHub Secret Scanning Alerts

Wir verwenden GitHub-Warnungen zum geheimen Scannen, um sensible Daten wie Anmeldeinformationen und private Schlüssel zu erkennen, die versehentlich in unsere Repositories übertragen wurden. Dieser Mechanismus zur frühzeitigen Erkennung hilft, potenzielle Sicherheitsverletzungen und Datenpannen zu verhindern.

Private Schwachstellenmeldung

Wir ermöglichen die Meldung privater Schwachstellen, so dass Nutzer/innen potenzielle Sicherheitsprobleme diskret melden können. Dieser Ansatz erleichtert eine verantwortungsvolle Offenlegung und stellt sicher, dass Schwachstellen sicher und effizient behandelt werden.

Wenn du eine Sicherheitslücke in einem unserer Repositories vermutest oder entdeckst, lass es uns bitte sofort wissen. Du kannst dich über unser Kontaktformular oder über security@ultralytics.com direkt an uns wenden. Unser Sicherheitsteam wird den Vorfall untersuchen und so schnell wie möglich darauf reagieren.

Wir freuen uns über deine Hilfe, damit alle Ultralytics Open-Source-Projekte für alle sicher sind 🙏.

FAQ

Welche Sicherheitsmaßnahmen setzt Ultralytics zum Schutz der Nutzerdaten ein?

Ultralytics setzt eine umfassende Sicherheitsstrategie ein, um Nutzerdaten und Systeme zu schützen. Zu den wichtigsten Maßnahmen gehören:

  • Snyk Scanning: Führt Sicherheitsscans durch, um Schwachstellen in Code und Dockerdateien aufzuspüren.
  • GitHub CodeQL: Analysiert die Semantik des Codes, um komplexe Schwachstellen wie SQL-Injection zu erkennen.
  • Dependabot-Warnungen: Überwacht Abhängigkeiten auf bekannte Schwachstellen und sendet Warnungen, um diese schnell zu beheben.
  • Secret Scanning: Entdeckt sensible Daten wie Anmeldedaten oder private Schlüssel in Code-Repositories, um Datenschutzverletzungen zu verhindern.
  • Private Schwachstellenmeldung: Bietet einen sicheren Kanal für Nutzer/innen, um potenzielle Sicherheitsprobleme diskret zu melden.

Diese Tools sorgen für eine proaktive Identifizierung und Lösung von Sicherheitsproblemen und erhöhen so die Sicherheit des gesamten Systems. Weitere Informationen findest du in unserer Exportdokumentation.

Wie nutzt Ultralytics Snyk für Sicherheitsscans?

Ultralytics nutzt Snyk, um seine Repositories gründlich auf Sicherheitslücken zu überprüfen. Snyk prüft nicht nur die Abhängigkeiten, sondern auch den Code und die Dockerdateien auf verschiedene Sicherheitslücken. Durch die proaktive Erkennung und Behebung potenzieller Sicherheitsprobleme trägt Snyk dazu bei, dass Ultralytics' Open-Source-Projekte sicher und zuverlässig bleiben.

Um das Snyk-Abzeichen zu sehen und mehr über seinen Einsatz zu erfahren, sieh dir den Abschnitt Snyk Scanning an.

Was ist CodeQL und wie erhöht es die Sicherheit für Ultralytics?

CodeQL ist ein Sicherheitsanalysetool, das über GitHub in den Workflow von Ultralytics integriert ist. Es dringt tief in die Codebasis ein, um komplexe Schwachstellen wie SQL-Injection und Cross-Site Scripting (XSS) zu identifizieren. CodeQL analysiert die semantische Struktur des Codes, um ein hohes Maß an Sicherheit zu gewährleisten und potenzielle Risiken frühzeitig zu erkennen und zu minimieren.

Weitere Informationen darüber, wie CodeQL verwendet wird, findest du im Abschnitt GitHub CodeQL Scanning.

Wie hilft Dependabot dabei, Ultralytics' Codesicherheit zu gewährleisten?

Dependabot ist ein automatisiertes Tool, das Abhängigkeiten auf bekannte Schwachstellen überwacht und verwaltet. Wenn Dependabot eine Schwachstelle in einer Ultralytics Projektabhängigkeit entdeckt, sendet es eine Warnung, sodass das Team das Problem schnell beheben und entschärfen kann. So wird sichergestellt, dass die Abhängigkeiten sicher und auf dem neuesten Stand sind und potenzielle Sicherheitsrisiken minimiert werden.

Weitere Details findest du im Abschnitt GitHub Dependabot Alerts.

Wie geht Ultralytics mit der Meldung privater Schwachstellen um?

Ultralytics ermutigt die Nutzer dazu, potenzielle Sicherheitsprobleme über private Kanäle zu melden. Nutzer/innen können Schwachstellen diskret über das Kontaktformular oder per E-Mail an security@ultralytics.com melden. Dies gewährleistet eine verantwortungsvolle Offenlegung und ermöglicht es dem Sicherheitsteam, Schwachstellen sicher und effizient zu untersuchen und zu beheben.

Weitere Informationen zur Meldung privater Schwachstellen findest du im Abschnitt Meldung privater Schwachstellen.



Erstellt am 2023-11-12, Aktualisiert am 2024-07-04
Autoren: glenn-jocher (3)