Modifica la pagina su GitHub (EN)

Policy di sicurezza di Ultralytics

In Ultralytics, la sicurezza dei dati e dei sistemi dei nostri utenti è della massima importanza. Per garantire la sicurezza e l'incolumità dei nostri progetti open-source, abbiamo implementato diverse misure per rilevare e prevenire le vulnerabilità di sicurezza.

Scansione Snyk

Utilizziamo Snyk per condurre scansioni di sicurezza complete sui repository di Ultralytics. Le solide funzionalità di scansione di Snyk vanno oltre i controlli delle dipendenze; esamina anche il nostro codice e i Dockerfile per rilevare varie vulnerabilità. Identificando e risolvendo questi problemi in modo proattivo, garantiamo un livello più elevato di sicurezza e affidabilità per i nostri utenti.

ultralytics

Scansione GitHub CodeQL

La nostra strategia di sicurezza include la scansione CodeQL di GitHub. CodeQL analizza in profondità la nostra base di codice, identificando vulnerabilità complesse come SQL injection e XSS analizzando la struttura semantica del codice. Questo livello avanzato di analisi garantisce il rilevamento precoce e la risoluzione di potenziali rischi di sicurezza.

CodeQL

Avvisi GitHub Dependabot

Dependabot è integrato nel nostro flusso di lavoro per monitorare le dipendenze alla ricerca di vulnerabilità note. Quando viene identificata una vulnerabilità in una delle nostre dipendenze, Dependabot ci avvisa, consentendo azioni di risoluzione rapide e informate.

Avvisi di scansione dei segreti di GitHub

Impieghiamo gli avvisi di scansione dei segreti di GitHub per rilevare dati sensibili, come credenziali e chiavi private, accidentalmente inviati ai nostri repository. Questo meccanismo di rilevamento precoce aiuta a prevenire potenziali violazioni della sicurezza ed esposizioni di dati.

Segnalazione privata delle vulnerabilità

Abilitiamo la segnalazione privata delle vulnerabilità, consentendo agli utenti di segnalare discretamente potenziali problemi di sicurezza. Questo approccio facilita la divulgazione responsabile, assicurando che le vulnerabilità vengano gestite in modo sicuro ed efficiente.

Se sospetti o scopri una vulnerabilità di sicurezza in uno qualsiasi dei nostri repository, faccelo sapere immediatamente. Puoi contattarci direttamente tramite il nostro modulo di contatto o tramite security@ultralytics.com. Il nostro team di sicurezza indagherà e risponderà il prima possibile.

Apprezziamo il tuo aiuto nel mantenere tutti i progetti open-source di Ultralytics protetti e sicuri per tutti.

FAQ

Quali sono le misure di sicurezza implementate da Ultralytics per proteggere i dati degli utenti?

Ultralytics impiega una strategia di sicurezza completa per proteggere i dati e i sistemi degli utenti. Le misure chiave includono:

  • Scansione Snyk: Conduce scansioni di sicurezza per rilevare vulnerabilità nel codice e nei Dockerfile.
  • GitHub CodeQL: Analizza la semantica del codice per rilevare vulnerabilità complesse come SQL injection.
  • Avvisi Dependabot: Monitora le dipendenze per vulnerabilità note e invia avvisi per una rapida risoluzione.
  • Scansione dei segreti: Rileva dati sensibili come credenziali o chiavi private nei repository di codice per prevenire violazioni dei dati.
  • Segnalazione privata delle vulnerabilità: Offre un canale sicuro agli utenti per segnalare discretamente potenziali problemi di sicurezza.

Questi strumenti garantiscono l'identificazione e la risoluzione proattiva dei problemi di sicurezza, migliorando la sicurezza complessiva del sistema. Per maggiori dettagli, esplora le sezioni sopra o contatta il team di sicurezza per qualsiasi domanda.

Come usa Ultralytics Snyk per la scansione di sicurezza?

Ultralytics utilizza Snyk per condurre scansioni di sicurezza approfondite sui propri repository. Snyk va oltre i controlli di base delle dipendenze, esaminando il codice e i Dockerfile alla ricerca di varie vulnerabilità. Identificando e risolvendo in modo proattivo potenziali problemi di sicurezza, Snyk aiuta a garantire che i progetti open-source di Ultralytics rimangano sicuri e affidabili.

Per vedere il badge Snyk e saperne di più sulla sua implementazione, controlla la sezione Scansione Snyk.

Cos'è CodeQL e come migliora la sicurezza per Ultralytics?

CodeQL è uno strumento di analisi della sicurezza integrato nel flusso di lavoro di Ultralytics tramite GitHub. Analizza in profondità la base di codice per identificare vulnerabilità complesse come SQL injection e Cross-Site Scripting (XSS). CodeQL analizza la struttura semantica del codice per fornire un livello avanzato di sicurezza, garantendo il rilevamento precoce e la mitigazione dei potenziali rischi.

Per ulteriori informazioni su come viene utilizzato CodeQL, visita la sezione Scansione GitHub CodeQL.

Come aiuta Dependabot a mantenere la sicurezza del codice di Ultralytics?

Dependabot è uno strumento automatizzato che monitora e gestisce le dipendenze alla ricerca di vulnerabilità note. Quando Dependabot rileva una vulnerabilità in una dipendenza di un progetto Ultralytics, invia un avviso, consentendo al team di affrontare e mitigare rapidamente il problema. Ciò garantisce che le dipendenze siano mantenute sicure e aggiornate, riducendo al minimo i potenziali rischi di sicurezza.

Per ulteriori dettagli, esplora la sezione Avvisi GitHub Dependabot.

Come gestisce Ultralytics la segnalazione privata delle vulnerabilità?

Ultralytics incoraggia gli utenti a segnalare potenziali problemi di sicurezza attraverso canali privati. Gli utenti possono segnalare le vulnerabilità discretamente tramite il modulo di contatto o inviando un'email a security@ultralytics.com. Ciò garantisce una divulgazione responsabile e consente al team di sicurezza di indagare e affrontare le vulnerabilità in modo sicuro ed efficiente.

Per ulteriori informazioni sulla segnalazione privata delle vulnerabilità, fai riferimento alla sezione Segnalazione privata delle vulnerabilità.

Contributors
Modifica la pagina su GitHub (EN)
GLglenn-jocher5ONonuralpszr2PDpderrenger1