GitHubでページを編集 (EN)

Ultralytics セキュリティポリシー

Ultralytics では、ユーザーのデータとシステムのセキュリティを最優先事項としています。当社の オープンソースプロジェクト の安全とセキュリティを確保するため、セキュリティ脆弱性を検出および防止するための複数の対策を導入しています。

Snyk スキャン

当社では Snyk を活用し、Ultralytics リポジトリに対して包括的なセキュリティスキャンを実施しています。Snyk の堅牢なスキャン機能は、依存関係のチェックに留まらず、コードや Dockerfile の様々な脆弱性も検査します。これらの問題を積極的に特定し対処することで、ユーザーに対してより高いレベルのセキュリティと信頼性を提供しています。

ultralytics

GitHub CodeQL スキャン

当社のセキュリティ戦略には、GitHub の CodeQL スキャンが含まれています。CodeQL はコードベースを深く掘り下げ、コードのセマンティック構造を分析することで、SQL インジェクションや XSS といった複雑な脆弱性を特定します。この高度な分析レベルにより、潜在的なセキュリティリスクの早期発見と解決が保証されます。

CodeQL

GitHub Dependabot アラート

Dependabot は当社のワークフローに統合されており、既知の脆弱性がないか依存関係を監視しています。依存関係の中に脆弱性が特定されると Dependabot がアラートを通知するため、迅速かつ情報に基づいた対応が可能になります。

GitHub シークレットスキャンアラート

当社では GitHub の シークレットスキャン アラートを採用し、認証情報や秘密鍵といった機密データが誤ってリポジトリにプッシュされるのを検出しています。この早期検出メカニズムにより、潜在的なセキュリティ侵害やデータ流出の防止に役立てています。

プライベート脆弱性報告

当社はプライベート脆弱性報告を有効にしており、ユーザーが潜在的なセキュリティ問題を非公開で報告できるようにしています。このアプローチにより責任ある開示が促進され、脆弱性が安全かつ効率的に処理されるようになります。

当社のリポジトリにおいてセキュリティ脆弱性を疑う、または発見した場合は、直ちにお知らせください。お問い合わせフォーム または security@ultralytics.com から直接ご連絡いただけます。当社のセキュリティチームが調査を行い、可能な限り迅速に対応いたします。

すべての Ultralytics オープンソースプロジェクトを誰にとっても安全に保つためのご協力に感謝いたします。

FAQ

ユーザーデータを保護するために Ultralytics が実施しているセキュリティ対策は何ですか?

Ultralytics はユーザーデータとシステムを保護するために包括的なセキュリティ戦略を採用しています。主な対策は以下の通りです。

  • Snyk スキャン: セキュリティスキャンを実施し、コードや Dockerfile 内の脆弱性を検出します。
  • GitHub CodeQL: コードのセマンティクスを分析し、SQL インジェクションなどの複雑な脆弱性を検出します。
  • Dependabot アラート: 既知の脆弱性について依存関係を監視し、迅速な修正のためにアラートを送信します。
  • シークレットスキャン: コードリポジトリ内の認証情報や秘密鍵といった機密データを検出し、データ侵害を防止します。
  • プライベート脆弱性報告: ユーザーが潜在的なセキュリティ問題を非公開で報告するための安全な窓口を提供します。

これらのツールにより、セキュリティ問題の事前特定と解決が保証され、システム全体のセキュリティが向上します。詳細については上記の各セクションを確認するか、ご不明な点がございましたらセキュリティチームまでお問い合わせください。

Ultralytics はどのように Snyk をセキュリティスキャンに使用していますか?

Ultralytics は Snyk を活用し、リポジトリに対して徹底的なセキュリティスキャンを実施しています。Snyk は基本的な依存関係のチェックを超えて、コードや Dockerfile を対象に様々な脆弱性を検査します。潜在的なセキュリティ問題を積極的に特定して解決することで、Ultralytics のオープンソースプロジェクトを安全かつ信頼性の高い状態に維持することに貢献しています。

Snyk バッジの表示やデプロイの詳細については、Snyk スキャンセクション をご確認ください。

CodeQL とは何ですか。また、Ultralytics のセキュリティをどのように向上させますか?

CodeQL は、GitHub を通じて Ultralytics のワークフローに統合されたセキュリティ分析ツールです。コードベースを深く掘り下げ、SQL インジェクションやクロスサイトスクリプティング (XSS) といった複雑な脆弱性を特定します。CodeQL はコードのセマンティック構造を分析して高度なレベルのセキュリティを提供し、潜在的なリスクの早期発見と緩和を確実にします。

CodeQL の使用方法に関する詳細は、GitHub CodeQL スキャンセクション をご覧ください。

Dependabot はどのようにして Ultralytics のコードセキュリティ維持を支援していますか?

Dependabot は、既知の脆弱性がないか依存関係を監視・管理する自動化ツールです。Dependabot が Ultralytics プロジェクトの依存関係において脆弱性を検出すると、チームが迅速に対処して問題を緩和できるようアラートを送信します。これにより依存関係が安全かつ最新の状態に保たれ、潜在的なセキュリティリスクが最小限に抑えられます。

詳細については、GitHub Dependabot アラートセクション をご確認ください。

Ultralytics はどのようにしてプライベートな脆弱性報告を取り扱っていますか?

Ultralytics は、ユーザーが潜在的なセキュリティ問題を非公開のチャネルを通じて報告することを推奨しています。ユーザーは お問い合わせフォーム または security@ultralytics.com へのメールを通じて、脆弱性を非公開で報告できます。これにより責任ある開示が可能となり、セキュリティチームが脆弱性を安全かつ効率的に調査・対処できるようになります。

プライベート脆弱性報告に関する詳細は、プライベート脆弱性報告セクション を参照してください。

Contributors
GitHubでページを編集 (EN)
GLglenn-jocher5ONonuralpszr2PDpderrenger1