Ultralytics Politique de sécurité
Chez Ultralytics, la sécurité des données et des systèmes de nos utilisateurs est de la plus haute importance. Pour assurer la sécurité de nos projets open-source, nous avons mis en place plusieurs mesures pour détecter et prévenir les failles de sécurité.
Snyk Scanning
Nous utilisons Snyk pour effectuer des analyses de sécurité complètes sur les dépôts Ultralytics . Les solides capacités d'analyse de Snyk vont au-delà de la vérification des dépendances ; il examine également notre code et nos Dockerfiles à la recherche de diverses vulnérabilités. En identifiant et en réglant ces problèmes de manière proactive, nous garantissons un niveau de sécurité et de fiabilité plus élevé à nos utilisateurs.
Analyse GitHub CodeQL
Notre stratégie de sécurité comprend notamment l'analyse CodeQL de GitHub. CodeQL plonge profondément dans notre base de code, identifiant les vulnérabilités complexes comme l'injection SQL et le XSS en analysant la structure sémantique du code. Ce niveau d'analyse avancé garantit une détection et une résolution précoces des risques de sécurité potentiels.
Alertes GitHub Dependabot
Dependabot est intégré à notre flux de travail pour surveiller les dépendances à la recherche de vulnérabilités connues. Lorsqu'une vulnérabilité est identifiée dans l'une de nos dépendances, Dependabot nous alerte, ce qui permet de prendre rapidement des mesures correctives en connaissance de cause.
Alertes de balayage des secrets de GitHub
Nous employons les alertes de balayage secret de GitHub pour détecter les données sensibles, telles que les identifiants et les clés privées, poussées accidentellement dans nos dépôts. Ce mécanisme de détection précoce permet de prévenir les failles de sécurité potentielles et l'exposition des données.
Rapport privé sur les vulnérabilités
Nous permettons le signalement privé des vulnérabilités, ce qui permet aux utilisateurs de signaler discrètement les problèmes de sécurité potentiels. Cette approche facilite la divulgation responsable, en garantissant que les vulnérabilités sont traitées de manière sûre et efficace.
Si tu suspectes ou découvres une faille de sécurité dans l'un de nos référentiels, fais-le nous savoir immédiatement. Tu peux nous contacter directement via notre formulaire de contact ou via security@ultralytics.com. Notre équipe de sécurité enquêtera et répondra dès que possible.
Nous apprécions ton aide pour garder tous les projets open-source de Ultralytics sécurisés et sûrs pour tout le monde 🙏.
FAQ
Quelles sont les mesures de sécurité mises en place par Ultralytics pour protéger les données des utilisateurs ?
Ultralytics emploie une stratégie de sécurité complète pour protéger les données et les systèmes des utilisateurs. Les principales mesures sont les suivantes :
- Snyk Scanning: Effectue des analyses de sécurité pour détecter les vulnérabilités dans le code et les Dockerfiles.
- GitHub CodeQL: Analyse la sémantique du code pour détecter les vulnérabilités complexes telles que l'injection SQL.
- Alertes Dependabot: Surveille les dépendances pour détecter les vulnérabilités connues et envoie des alertes pour y remédier rapidement.
- Analyse des secrets: Détecte les données sensibles comme les identifiants ou les clés privées dans les référentiels de code pour éviter les violations de données.
- Rapport privé sur les vulnérabilités: Offre un canal sécurisé aux utilisateurs pour qu'ils signalent discrètement les problèmes de sécurité potentiels.
Ces outils permettent d'identifier et de résoudre de manière proactive les problèmes de sécurité, améliorant ainsi la sécurité globale du système. Pour plus de détails, visite notre documentation sur l'exportation.
Comment Ultralytics utilise-t-il Snyk pour l'analyse de sécurité ?
Ultralytics utilise Snyk pour effectuer des analyses de sécurité approfondies sur ses dépôts. Snyk va au-delà des vérifications de base des dépendances, en examinant le code et les Dockerfiles à la recherche de diverses vulnérabilités. En identifiant et en résolvant de manière proactive les problèmes de sécurité potentiels, Snyk contribue à garantir que les projets open-source Ultralytics' restent sûrs et fiables.
Pour voir le badge Snyk et en savoir plus sur son déploiement, consulte la section Snyk Scanning.
Qu'est-ce que CodeQL et comment améliore-t-il la sécurité de Ultralytics?
CodeQL est un outil d'analyse de la sécurité intégré au flux de travail de Ultralytics' via GitHub. Il plonge profondément dans la base de code pour identifier les vulnérabilités complexes telles que l'injection SQL et les scripts intersites (XSS). CodeQL analyse la structure sémantique du code pour fournir un niveau de sécurité avancé, assurant une détection précoce et une atténuation des risques potentiels.
Pour plus d'informations sur la façon dont CodeQL est utilisé, visite la section Analyse de CodeQL de GitHub.
Comment Dependabot aide-t-il à maintenir la sécurité du code Ultralytics?
Dependabot est un outil automatisé qui surveille et gère les dépendances à la recherche de vulnérabilités connues. Lorsque Dependabot détecte une vulnérabilité dans une dépendance du projet Ultralytics , il envoie une alerte, ce qui permet à l'équipe de traiter et d'atténuer rapidement le problème. Cela permet de s'assurer que les dépendances sont sécurisées et mises à jour, ce qui minimise les risques potentiels pour la sécurité.
Pour plus de détails, explore la section GitHub sur les alertes de Dependabot.
Comment Ultralytics traite-t-il les rapports de vulnérabilité privés ?
Ultralytics encourage les utilisateurs à signaler les problèmes de sécurité potentiels par le biais de canaux privés. Les utilisateurs peuvent signaler des vulnérabilités discrètement via le formulaire de contact ou en envoyant un courriel à security@ultralytics.com. Cela garantit une divulgation responsable et permet à l'équipe de sécurité d'enquêter sur les vulnérabilités et d'y remédier de manière sûre et efficace.
Pour plus d'informations sur le signalement des vulnérabilités privées, reporte-toi à la section Signalement des vulnérabilités privées.