Política de seguridad de Ultralytics
En Ultralytics, la seguridad de los datos y sistemas de nuestros usuarios es de suma importancia. Para garantizar la seguridad de nuestros proyectos de código abierto, hemos implementado varias medidas para detectar y prevenir vulnerabilidades de seguridad.
Análisis de Snyk
Utilizamos Snyk para realizar análisis de seguridad exhaustivos en los repositorios de Ultralytics. Las sólidas capacidades de análisis de Snyk van más allá de las comprobaciones de dependencias; también examina nuestro código y Dockerfiles en busca de diversas vulnerabilidades. Al identificar y abordar estos problemas de forma proactiva, garantizamos un mayor nivel de seguridad y fiabilidad para nuestros usuarios.
Análisis de GitHub CodeQL
Nuestra estrategia de seguridad incluye el escaneo CodeQL de GitHub. CodeQL profundiza en nuestro código base, identificando vulnerabilidades complejas como la inyección SQL y XSS mediante el análisis de la estructura semántica del código. Este nivel avanzado de análisis garantiza la detección temprana y la resolución de posibles riesgos de seguridad.
Alertas de GitHub Dependabot
Dependabot está integrado en nuestro flujo de trabajo para supervisar las dependencias en busca de vulnerabilidades conocidas. Cuando se identifica una vulnerabilidad en una de nuestras dependencias, Dependabot nos alerta, lo que permite tomar medidas de corrección rápidas e informadas.
Alertas de análisis secreto de GitHub
Empleamos alertas de escaneo secreto de GitHub para detectar datos confidenciales, como credenciales y claves privadas, que se hayan subido accidentalmente a nuestros repositorios. Este mecanismo de detección temprana ayuda a prevenir posibles violaciones de seguridad y exposiciones de datos.
Informes de vulnerabilidades privadas
Habilitamos la notificación privada de vulnerabilidades, lo que permite a los usuarios informar discretamente sobre posibles problemas de seguridad. Este enfoque facilita la divulgación responsable, garantizando que las vulnerabilidades se gestionen de forma segura y eficiente.
Si sospecha o descubre una vulnerabilidad de seguridad en alguno de nuestros repositorios, infórmenos de inmediato. Puede ponerse en contacto con nosotros directamente a través de nuestro formulario de contacto o a través de security@ultralytics.com. Nuestro equipo de seguridad investigará y responderá lo antes posible.
Agradecemos su ayuda para mantener todos los proyectos de código abierto de Ultralytics seguros para todos 🙏.
Preguntas frecuentes
¿Qué medidas de seguridad implementa Ultralytics para proteger los datos del usuario?
Ultralytics emplea una estrategia de seguridad integral para proteger los datos y sistemas de los usuarios. Las medidas clave incluyen:
- Análisis de Snyk: Realiza análisis de seguridad para detectar vulnerabilidades en el código y los Dockerfiles.
- GitHub CodeQL: Analiza la semántica del código para detectar vulnerabilidades complejas, como la inyección SQL.
- Alertas de Dependabot: Supervisa las dependencias en busca de vulnerabilidades conocidas y envía alertas para una rápida corrección.
- Análisis de secretos: Detecta datos confidenciales, como credenciales o claves privadas, en los repositorios de código para evitar filtraciones de datos.
- Informes Privados de Vulnerabilidades: Ofrece un canal seguro para que los usuarios informen sobre posibles problemas de seguridad de forma discreta.
Estas herramientas garantizan la identificación y resolución proactiva de problemas de seguridad, lo que mejora la seguridad general del sistema. Para obtener más detalles, visite nuestra documentación de exportación.
¿Cómo utiliza Ultralytics Snyk para el escaneo de seguridad?
Ultralytics utiliza Snyk para realizar análisis de seguridad exhaustivos en sus repositorios. Snyk va más allá de las comprobaciones básicas de dependencias, examinando el código y los Dockerfiles en busca de diversas vulnerabilidades. Al identificar y resolver de forma proactiva los posibles problemas de seguridad, Snyk ayuda a garantizar que los proyectos de código abierto de Ultralytics sigan siendo seguros y fiables.
Para ver la insignia de Snyk y obtener más información sobre su implementación, consulta la sección de escaneo de Snyk.
¿Qué es CodeQL y cómo mejora la seguridad para Ultralytics?
CodeQL es una herramienta de análisis de seguridad integrada en el flujo de trabajo de Ultralytics a través de GitHub. Profundiza en la base de código para identificar vulnerabilidades complejas como la inyección SQL y el Cross-Site Scripting (XSS). CodeQL analiza la estructura semántica del código para proporcionar un nivel avanzado de seguridad, garantizando la detección temprana y la mitigación de posibles riesgos.
Para obtener más información sobre cómo se utiliza CodeQL, visita la sección de Escaneo de CodeQL de GitHub.
¿Cómo ayuda Dependabot a mantener la seguridad del código de Ultralytics?
Dependabot es una herramienta automatizada que supervisa y gestiona las dependencias en busca de vulnerabilidades conocidas. Cuando Dependabot detecta una vulnerabilidad en una dependencia del proyecto Ultralytics, envía una alerta, lo que permite al equipo abordar y mitigar rápidamente el problema. Esto garantiza que las dependencias se mantengan seguras y actualizadas, minimizando los posibles riesgos de seguridad.
Para obtener más detalles, explora la sección de alertas de Dependabot de GitHub.
¿Cómo gestiona Ultralytics la notificación privada de vulnerabilidades?
Ultralytics anima a los usuarios a informar sobre posibles problemas de seguridad a través de canales privados. Los usuarios pueden informar sobre vulnerabilidades de forma discreta a través del formulario de contacto o enviando un correo electrónico a security@ultralytics.com. Esto asegura una divulgación responsable y permite al equipo de seguridad investigar y abordar las vulnerabilidades de forma segura y eficiente.
Para obtener más información sobre la notificación privada de vulnerabilidades, consulta la sección de Notificación Privada de Vulnerabilidades.
