Modifier la page sur GitHub (EN)

Politique de sécurité d'Ultralytics

Chez Ultralytics, la sécurité des données et des systèmes de nos utilisateurs est d'une importance capitale. Pour garantir la sécurité et la sûreté de nos projets open-source, nous avons mis en place plusieurs mesures pour détecter et prévenir les vulnérabilités de sécurité.

Analyse Snyk

Nous utilisons Snyk pour effectuer des analyses de sécurité complètes sur les dépôts Ultralytics. Les capacités d'analyse robustes de Snyk vont au-delà des simples vérifications de dépendances ; elles examinent également notre code et nos fichiers Dockerfiles à la recherche de diverses vulnérabilités. En identifiant et en traitant ces problèmes de manière proactive, nous assurons un niveau de sécurité et de fiabilité plus élevé pour nos utilisateurs.

ultralytics

Analyse GitHub CodeQL

Notre stratégie de sécurité inclut l'analyse CodeQL de GitHub. CodeQL explore en profondeur notre base de code, identifiant des vulnérabilités complexes telles que l'injection SQL et le XSS en analysant la structure sémantique du code. Ce niveau d'analyse avancé garantit une détection et une résolution précoces des risques de sécurité potentiels.

CodeQL

Alertes GitHub Dependabot

Dependabot est intégré à notre workflow pour surveiller les dépendances à la recherche de vulnérabilités connues. Lorsqu'une vulnérabilité est identifiée dans l'une de nos dépendances, Dependabot nous alerte, permettant des mesures de remédiation rapides et informées.

Alertes GitHub Secret Scanning

Nous utilisons les alertes de secret scanning de GitHub pour détecter les données sensibles, telles que les identifiants et les clés privées, accidentellement poussées vers nos dépôts. Ce mécanisme de détection précoce aide à prévenir les failles de sécurité et les fuites de données potentielles.

Signalement privé de vulnérabilités

Nous permettons le signalement privé de vulnérabilités, ce qui autorise les utilisateurs à rapporter discrètement des problèmes de sécurité potentiels. Cette approche facilite la divulgation responsable, garantissant que les vulnérabilités sont traitées de manière sécurisée et efficace.

Si tu suspectes ou découvres une vulnérabilité de sécurité dans l'un de nos dépôts, fais-le nous savoir immédiatement. Tu peux nous contacter directement via notre formulaire de contact ou via security@ultralytics.com. Notre équipe de sécurité enquêtera et répondra dès que possible.

Nous apprécions ton aide pour maintenir tous les projets open-source d'Ultralytics sécurisés et sûrs pour tout le monde.

FAQ

Quelles sont les mesures de sécurité mises en œuvre par Ultralytics pour protéger les données des utilisateurs ?

Ultralytics emploie une stratégie de sécurité complète pour protéger les données et les systèmes des utilisateurs. Les mesures clés incluent :

  • Analyse Snyk : Effectue des analyses de sécurité pour détecter les vulnérabilités dans le code et les Dockerfiles.
  • GitHub CodeQL : Analyse la sémantique du code pour détecter des vulnérabilités complexes comme l'injection SQL.
  • Alertes Dependabot : Surveille les dépendances pour détecter les vulnérabilités connues et envoie des alertes pour une remédiation rapide.
  • Secret Scanning : Détecte les données sensibles telles que les identifiants ou les clés privées dans les dépôts de code pour éviter les fuites de données.
  • Signalement privé de vulnérabilités : Offre un canal sécurisé permettant aux utilisateurs de rapporter discrètement des problèmes de sécurité potentiels.

Ces outils assurent l'identification et la résolution proactives des problèmes de sécurité, renforçant la sécurité globale du système. Pour plus de détails, explore les sections ci-dessus ou contacte l'équipe de sécurité pour toute question.

Comment Ultralytics utilise-t-il Snyk pour l'analyse de sécurité ?

Ultralytics utilise Snyk pour mener des analyses de sécurité approfondies sur ses dépôts. Snyk va au-delà des vérifications de dépendances de base, en examinant le code et les Dockerfiles pour détecter diverses vulnérabilités. En identifiant et en résolvant de manière proactive les problèmes de sécurité potentiels, Snyk aide à garantir que les projets open-source d'Ultralytics restent sécurisés et fiables.

Pour voir le badge Snyk et en savoir plus sur son déploiement, consulte la section Analyse Snyk.

Qu'est-ce que CodeQL et comment améliore-t-il la sécurité pour Ultralytics ?

CodeQL est un outil d'analyse de sécurité intégré au workflow d'Ultralytics via GitHub. Il explore en profondeur la base de code pour identifier des vulnérabilités complexes telles que l'injection SQL et le Cross-Site Scripting (XSS). CodeQL analyse la structure sémantique du code pour fournir un niveau de sécurité avancé, garantissant une détection et une atténuation précoces des risques potentiels.

Pour plus d'informations sur la manière dont CodeQL est utilisé, visite la section Analyse GitHub CodeQL.

Comment Dependabot aide-t-il à maintenir la sécurité du code d'Ultralytics ?

Dependabot est un outil automatisé qui surveille et gère les dépendances à la recherche de vulnérabilités connues. Lorsque Dependabot détecte une vulnérabilité dans une dépendance d'un projet Ultralytics, il envoie une alerte, permettant à l'équipe de traiter et d'atténuer rapidement le problème. Cela garantit que les dépendances sont maintenues sécurisées et à jour, minimisant les risques de sécurité potentiels.

Pour plus de détails, explore la section Alertes GitHub Dependabot.

Comment Ultralytics gère-t-il le signalement privé de vulnérabilités ?

Ultralytics encourage les utilisateurs à signaler les problèmes de sécurité potentiels via des canaux privés. Les utilisateurs peuvent rapporter des vulnérabilités discrètement via le formulaire de contact ou en envoyant un e-mail à security@ultralytics.com. Cela garantit une divulgation responsable et permet à l'équipe de sécurité d'enquêter et de traiter les vulnérabilités de manière sécurisée et efficace.

Pour plus d'informations sur le signalement privé de vulnérabilités, réfère-toi à la section Signalement privé de vulnérabilités.

Contributors
Modifier la page sur GitHub (EN)
GLglenn-jocher5ONonuralpszr2PDpderrenger1