Passer au contenu

Politique de sécurité d'Ultralytics

Chez Ultralytics, la sécurité des données et des systèmes de nos utilisateurs est de la plus haute importance. Pour assurer la sûreté et la sécurité de nos projets open source, nous avons mis en place plusieurs mesures pour détecter et prévenir les vulnérabilités de sécurité.

Analyse Snyk

Nous utilisons Snyk pour effectuer des analyses de sécurité complètes sur les référentiels Ultralytics. Les puissantes capacités d'analyse de Snyk vont au-delà des vérifications de dépendances ; il examine également notre code et nos Dockerfiles à la recherche de diverses vulnérabilités. En identifiant et en corrigeant ces problèmes de manière proactive, nous assurons un niveau de sécurité et de fiabilité plus élevé à nos utilisateurs.

ultralytics

Analyse GitHub CodeQL

Notre stratégie de sécurité comprend l'analyse CodeQL de GitHub. CodeQL explore en profondeur notre base de code, identifiant les vulnérabilités complexes telles que l'injection SQL et les XSS en analysant la structure sémantique du code. Ce niveau avancé d'analyse assure la détection précoce et la résolution des risques de sécurité potentiels.

CodeQL

Alertes GitHub Dependabot

Dependabot est intégré à notre flux de travail pour surveiller les dépendances en matière de vulnérabilités connues. Lorsqu'une vulnérabilité est identifiée dans l'une de nos dépendances, Dependabot nous alerte, ce qui permet de prendre des mesures correctives rapides et éclairées.

Alertes d'analyse des secrets GitHub

Nous utilisons les alertes de détection des secrets de GitHub pour détecter les données sensibles, telles que les informations d'identification et les clés privées, qui sont accidentellement envoyées à nos référentiels. Ce mécanisme de détection précoce permet d'éviter les violations potentielles de la sécurité et les expositions de données.

Signalement privé des vulnérabilités

Nous activons le signalement privé des vulnérabilités, permettant aux utilisateurs de signaler discrètement les problèmes de sécurité potentiels. Cette approche facilite la divulgation responsable, garantissant que les vulnérabilités sont traitées de manière sûre et efficace.

Si vous suspectez ou découvrez une faille de sécurité dans l'un de nos référentiels, veuillez nous en informer immédiatement. Vous pouvez nous contacter directement via notre formulaire de contact ou via security@ultralytics.com. Notre équipe de sécurité enquêtera et répondra dès que possible.

Nous vous remercions de nous aider à assurer la sécurité de tous les projets open source Ultralytics 🙏.

FAQ

Quelles sont les mesures de sécurité mises en œuvre par Ultralytics pour protéger les données des utilisateurs ?

Ultralytics emploie une stratégie de sécurité complète pour protéger les données et les systèmes des utilisateurs. Les principales mesures comprennent :

  • Analyse Snyk : Effectue des analyses de sécurité pour détecter les vulnérabilités dans le code et les Dockerfiles.
  • GitHub CodeQL : Analyse la sémantique du code pour détecter les vulnérabilités complexes telles que l'injection SQL.
  • Alertes Dependabot : Surveille les dépendances pour détecter les vulnérabilités connues et envoie des alertes pour une correction rapide.
  • Analyse des secrets : Détecte les données sensibles telles que les informations d'identification ou les clés privées dans les référentiels de code afin d'empêcher les violations de données.
  • Signalement privé des vulnérabilités : Offre un canal sécurisé permettant aux utilisateurs de signaler discrètement les problèmes de sécurité potentiels.

Ces outils garantissent l'identification et la résolution proactives des problèmes de sécurité, améliorant ainsi la sécurité globale du système. Pour plus de détails, consultez notre documentation sur l'exportation.

Comment Ultralytics utilise-t-elle Snyk pour l'analyse de sécurité ?

Ultralytics utilise Snyk pour effectuer des analyses de sécurité approfondies sur ses référentiels. Snyk va au-delà des vérifications de dépendances de base, en examinant le code et les Dockerfiles à la recherche de diverses vulnérabilités. En identifiant et en résolvant de manière proactive les problèmes de sécurité potentiels, Snyk contribue à garantir que les projets open source d'Ultralytics restent sécurisés et fiables.

Pour voir le badge Snyk et en savoir plus sur son déploiement, consultez la section Analyse Snyk.

Qu'est-ce que CodeQL et comment améliore-t-il la sécurité d'Ultralytics ?

CodeQL est un outil d'analyse de sécurité intégré au flux de travail d'Ultralytics via GitHub. Il explore en profondeur la base de code pour identifier les vulnérabilités complexes telles que l'injection SQL et le Cross-Site Scripting (XSS). CodeQL analyse la structure sémantique du code pour fournir un niveau de sécurité avancé, garantissant la détection précoce et l'atténuation des risques potentiels.

Pour plus d'informations sur l'utilisation de CodeQL, consultez la section Section Analyse CodeQL de GitHub.

Comment Dependabot aide-t-il à maintenir la sécurité du code d'Ultralytics ?

Dependabot est un outil automatisé qui surveille et gère les dépendances pour les vulnérabilités connues. Lorsque Dependabot détecte une vulnérabilité dans une dépendance du projet Ultralytics, il envoie une alerte, permettant à l'équipe de traiter et d'atténuer rapidement le problème. Cela garantit que les dépendances sont sécurisées et à jour, minimisant ainsi les risques potentiels pour la sécurité.

Pour plus de détails, consultez la section des alertes GitHub Dependabot.

Comment Ultralytics gère-t-elle les signalements privés de vulnérabilités ?

Ultralytics encourage les utilisateurs à signaler les problèmes de sécurité potentiels par le biais de canaux privés. Les utilisateurs peuvent signaler les vulnérabilités discrètement via le formulaire de contact ou en envoyant un e-mail à security@ultralytics.com. Cela garantit une divulgation responsable et permet à l'équipe de sécurité d'enquêter et de traiter les vulnérabilités de manière sécurisée et efficace.

Pour plus d'informations sur le signalement privé des vulnérabilités, consultez la section Signalement privé des vulnérabilités.



📅 Créé il y a 1 an ✏️ Mis à jour il y a 9 mois