Vai al contenuto

Politica di sicurezza di Ultralytics

In Ultralytics, la sicurezza dei dati e dei sistemi dei nostri utenti è della massima importanza. Per garantire la sicurezza dei nostri progetti open-source, abbiamo implementato diverse misure per rilevare e prevenire le vulnerabilità di sicurezza.

Scansione Snyk

Utilizziamo Snyk per condurre scansioni di sicurezza complete sui repository Ultralytics. Le solide funzionalità di scansione di Snyk vanno oltre i controlli delle dipendenze; esamina anche il nostro codice e i Dockerfile alla ricerca di varie vulnerabilità. Identificando e affrontando questi problemi in modo proattivo, garantiamo un livello più elevato di sicurezza e affidabilità per i nostri utenti.

ultralytics

Scansione GitHub CodeQL

La nostra strategia di sicurezza include la scansione CodeQL di GitHub. CodeQL analizza a fondo la nostra codebase, identificando vulnerabilità complesse come SQL injection e XSS analizzando la struttura semantica del codice. Questo livello avanzato di analisi garantisce il rilevamento e la risoluzione precoci di potenziali rischi per la sicurezza.

CodeQL

Avvisi GitHub Dependabot

Dependabot è integrato nel nostro flusso di lavoro per monitorare le dipendenze per le vulnerabilità note. Quando viene identificata una vulnerabilità in una delle nostre dipendenze, Dependabot ci avvisa, consentendo azioni di correzione rapide e informate.

Avvisi di scansione segreti di GitHub

Utilizziamo gli avvisi di scansione segreta di GitHub per rilevare dati sensibili, come credenziali e chiavi private, accidentalmente inviati ai nostri repository. Questo meccanismo di rilevamento precoce aiuta a prevenire potenziali violazioni della sicurezza ed esposizioni di dati.

Segnalazione privata di vulnerabilità

Abilitiamo la segnalazione privata delle vulnerabilità, consentendo agli utenti di segnalare discretamente potenziali problemi di sicurezza. Questo approccio facilita la divulgazione responsabile, garantendo che le vulnerabilità vengano gestite in modo sicuro ed efficiente.

Se sospetti o scopri una vulnerabilità di sicurezza in uno qualsiasi dei nostri repository, ti preghiamo di comunicarcelo immediatamente. Puoi contattarci direttamente tramite il nostro modulo di contatto o tramite security@ultralytics.com. Il nostro team di sicurezza indagherà e risponderà il prima possibile.

Apprezziamo il vostro aiuto nel mantenere tutti i progetti open source di Ultralytics sicuri e protetti per tutti 🙏.

FAQ

Quali sono le misure di sicurezza implementate da Ultralytics per proteggere i dati degli utenti?

Ultralytics adotta una strategia di sicurezza completa per proteggere i dati e i sistemi degli utenti. Le misure principali includono:

  • Scansione Snyk: Esegue scansioni di sicurezza per rilevare vulnerabilità nel codice e nei Dockerfile.
  • GitHub CodeQL: Analizza la semantica del codice per rilevare vulnerabilità complesse come le SQL injection.
  • Avvisi Dependabot: Monitora le dipendenze per individuare vulnerabilità note e invia avvisi per una rapida correzione.
  • Scansione segreti: Rileva dati sensibili come credenziali o chiavi private nei repository di codice per prevenire violazioni dei dati.
  • Segnalazione privata delle vulnerabilità: Offre un canale sicuro per gli utenti per segnalare potenziali problemi di sicurezza in modo discreto.

Questi strumenti garantiscono l'identificazione e la risoluzione proattiva dei problemi di sicurezza, migliorando la sicurezza complessiva del sistema. Per maggiori dettagli, visita la nostra documentazione sull'export.

In che modo Ultralytics utilizza Snyk per la scansione di sicurezza?

Ultralytics utilizza Snyk per condurre scansioni di sicurezza approfondite sui suoi repository. Snyk va oltre i controlli di dipendenza di base, esaminando il codice e i Dockerfile alla ricerca di varie vulnerabilità. Identificando e risolvendo proattivamente potenziali problemi di sicurezza, Snyk aiuta a garantire che i progetti open-source di Ultralytics rimangano sicuri e affidabili.

Per visualizzare il badge Snyk e saperne di più sulla sua implementazione, consulta la sezione Scansione Snyk.

Cos'è CodeQL e come migliora la sicurezza per Ultralytics?

CodeQL è uno strumento di analisi della sicurezza integrato nel flusso di lavoro di Ultralytics tramite GitHub. Approfondisce il codebase per identificare vulnerabilità complesse come SQL injection e Cross-Site Scripting (XSS). CodeQL analizza la struttura semantica del codice per fornire un livello avanzato di sicurezza, garantendo il rilevamento precoce e la mitigazione dei potenziali rischi.

Per maggiori informazioni su come viene utilizzato CodeQL, visita la sezione Scansione GitHub CodeQL.

In che modo Dependabot aiuta a mantenere la sicurezza del codice di Ultralytics?

Dependabot è uno strumento automatizzato che monitora e gestisce le dipendenze per le vulnerabilità note. Quando Dependabot rileva una vulnerabilità in una dipendenza del progetto Ultralytics, invia un avviso, consentendo al team di affrontare e mitigare rapidamente il problema. Ciò garantisce che le dipendenze siano mantenute sicure e aggiornate, riducendo al minimo i potenziali rischi per la sicurezza.

Per maggiori dettagli, esplora la sezione Avvisi Dependabot di GitHub.

In che modo Ultralytics gestisce la segnalazione privata delle vulnerabilità?

Ultralytics incoraggia gli utenti a segnalare potenziali problemi di sicurezza attraverso canali privati. Gli utenti possono segnalare le vulnerabilità in modo discreto tramite il modulo di contatto o inviando un'e-mail a security@ultralytics.com. Ciò garantisce una divulgazione responsabile e consente al team di sicurezza di indagare e risolvere le vulnerabilità in modo sicuro ed efficiente.

Per maggiori informazioni sulla segnalazione privata delle vulnerabilità, consulta la sezione Segnalazione privata delle vulnerabilità.



📅 Creato 1 anno fa ✏️ Aggiornato 9 mesi fa
glenn-jocher UltralyticsAssistant