Ultralytics Politique de sécurité
Chez Ultralyticsla sécurité des données et des systèmes de nos utilisateurs est de la plus haute importance. Pour garantir la sécurité de nos projets open-source, nous avons mis en place plusieurs mesures visant à détecter et à prévenir les failles de sécurité.
Snyk Scanning
Nous utilisons Snyk pour effectuer des analyses de sécurité complètes sur les dépôts Ultralytics . Les capacités d'analyse robustes de Snyk vont au-delà des vérifications de dépendances ; elles examinent également notre code et nos fichiers Docker à la recherche de diverses vulnérabilités. En identifiant et en traitant ces problèmes de manière proactive, nous garantissons un niveau de sécurité et de fiabilité plus élevé pour nos utilisateurs.
Analyse GitHub CodeQL
Notre stratégie de sécurité inclut l'analyse CodeQL de GitHub. CodeQL explore en profondeur notre base de code, identifiant les vulnérabilités complexes telles que les injections SQL et les XSS en analysant la structure sémantique du code. Ce niveau d'analyse avancé garantit une détection et une résolution précoces des risques de sécurité potentiels.
Alertes Dependabot GitHub
Dependabot est intégré dans notre flux de travail pour surveiller les dépendances et détecter les vulnérabilités connues. Lorsqu'une vulnérabilité est identifiée dans l'une de nos dépendances, Dependabot nous alerte, ce qui nous permet de prendre rapidement des mesures correctives en connaissance de cause.
Alertes d'analyse secrète de GitHub
Nous utilisons les alertes d'analyse secrète de GitHub pour détecter les données sensibles, telles que les informations d'identification et les clés privées, qui sont accidentellement transférées dans nos dépôts. Ce mécanisme de détection précoce permet de prévenir les failles de sécurité potentielles et l'exposition des données.
Rapport privé sur les vulnérabilités
Nous permettons le signalement privé des vulnérabilités, ce qui permet aux utilisateurs de signaler discrètement des problèmes de sécurité potentiels. Cette approche facilite la divulgation responsable, en garantissant que les vulnérabilités sont traitées de manière sûre et efficace.
Si vous soupçonnez ou découvrez une faille de sécurité dans l'un de nos dépôts, veuillez nous en informer immédiatement. Vous pouvez nous contacter directement via notre formulaire de contact ou via security@ultralytics.com. Notre équipe de sécurité enquêtera et répondra dès que possible.
Nous apprécions votre aide pour garder tous les projets open-source de Ultralytics sécurisés et sûrs pour tout le monde 🙏.
FAQ
Quelles sont les mesures de sécurité mises en œuvre par Ultralytics pour protéger les données des utilisateurs ?
Ultralytics utilise une stratégie de sécurité globale pour protéger les données et les systèmes des utilisateurs. Les principales mesures sont les suivantes
- Snyk Scanning: Effectue des analyses de sécurité pour détecter les vulnérabilités dans le code et les fichiers Docker.
- GitHub CodeQL: Analyse la sémantique du code pour détecter des vulnérabilités complexes telles que l'injection SQL.
- Alertes Dependabot: Surveille les dépendances pour détecter les vulnérabilités connues et envoie des alertes pour une remédiation rapide.
- Analyse des secrets: Détecte les données sensibles telles que les informations d'identification ou les clés privées dans les référentiels de code afin de prévenir les violations de données.
- Rapport privé sur les vulnérabilités: Offre un canal sécurisé permettant aux utilisateurs de signaler discrètement des problèmes de sécurité potentiels.
Ces outils permettent d'identifier et de résoudre de manière proactive les problèmes de sécurité, améliorant ainsi la sécurité globale du système. Pour plus de détails, consultez notre documentation sur l'exportation.
Comment Ultralytics utilise-t-il Snyk pour l'analyse de sécurité ?
Ultralytics utilise Snyk pour effectuer des analyses de sécurité approfondies sur ses dépôts. Snyk va au-delà des vérifications de base des dépendances, en examinant le code et les fichiers Docker à la recherche de diverses vulnérabilités. En identifiant et en résolvant de manière proactive les problèmes de sécurité potentiels, Snyk contribue à garantir que les projets open-source Ultralytics' restent sûrs et fiables.
Pour voir le badge Snyk et en savoir plus sur son déploiement, consultez la section Snyk Scanning.
Qu'est-ce que CodeQL et comment améliore-t-il la sécurité de Ultralytics?
CodeQL est un outil d'analyse de la sécurité intégré au flux de travail de Ultralytics via GitHub. Il plonge dans la base de code pour identifier les vulnérabilités complexes telles que l'injection SQL et le Cross-Site Scripting (XSS). CodeQL analyse la structure sémantique du code pour fournir un niveau de sécurité avancé, assurant une détection précoce et une atténuation des risques potentiels.
Pour plus d'informations sur l'utilisation de CodeQL, consultez la section GitHub CodeQL Scanning.
Comment Dependabot aide-t-il à maintenir la sécurité du code Ultralytics?
Dependabot est un outil automatisé qui surveille et gère les dépendances pour détecter les vulnérabilités connues. Lorsque Dependabot détecte une vulnérabilité dans une dépendance du projet Ultralytics , il envoie une alerte, ce qui permet à l'équipe de traiter et d'atténuer rapidement le problème. Cela garantit que les dépendances sont sécurisées et mises à jour, minimisant ainsi les risques potentiels pour la sécurité.
Pour plus de détails, consultez la section GitHub Dependabot Alerts.
Comment le site Ultralytics traite-t-il les rapports de vulnérabilité privés ?
Ultralytics encourage les utilisateurs à signaler les problèmes de sécurité potentiels par des canaux privés. Les utilisateurs peuvent signaler des vulnérabilités discrètement via le formulaire de contact ou en envoyant un courriel à security@ultralytics.com. Cela garantit une divulgation responsable et permet à l'équipe de sécurité d'enquêter sur les vulnérabilités et d'y remédier de manière sûre et efficace.
Pour plus d'informations sur la déclaration de vulnérabilité privée, voir la section Déclaration de vulnérabilité privée.
