Ultralyticsセキュリティポリシー
Ultralyticsでは、ユーザーのデータとシステムのセキュリティを最重要視しています。オープンソースプロジェクトの安全性とセキュリティを確保するために、セキュリティ脆弱性を検出および防止するためのいくつかの対策を実施しています。
Snykスキャン
Ultralyticsリポジトリで包括的なセキュリティスキャンを実施するために、Snykを利用しています。Snykの堅牢なスキャン機能は、依存関係のチェックにとどまらず、コードとDockerfileもさまざまな脆弱性について検査します。これらの問題を事前に特定して対処することで、ユーザーのセキュリティと信頼性を高めています。
GitHub CodeQLスキャン
当社のセキュリティ戦略には、GitHubのCodeQLスキャンが含まれています。CodeQLは、コードのセマンティック構造を分析することにより、SQLインジェクションやXSSなどの複雑な脆弱性を特定し、当社のコードベースを深く掘り下げます。この高度な分析レベルにより、潜在的なセキュリティリスクの早期検出と解決が保証されます。
GitHub Dependabotアラート
Dependabotは、既知の脆弱性について依存関係を監視するために、当社のワークフローに統合されています。依存関係のいずれかで脆弱性が特定されると、Dependabotが警告を発し、迅速かつ情報に基づいた修復措置を講じることができます。
GitHubシークレットスキャンアラート
GitHubのシークレットスキャンアラートを使用して、認証情報や秘密鍵などの機密データが誤ってリポジトリにプッシュされるのを検出します。この早期検出メカニズムは、潜在的なセキュリティ侵害やデータ漏洩を防ぐのに役立ちます。
非公開の脆弱性報告
プライベートな脆弱性レポートを有効にすることで、ユーザーが潜在的なセキュリティ問題を慎重に報告できるようにしています。このアプローチは、責任ある情報開示を促進し、脆弱性が安全かつ効率的に処理されるようにします。
当社のリポジトリにセキュリティの脆弱性があると思われる場合、または発見した場合は、直ちに当社にご連絡ください。お問い合わせフォームまたはsecurity@ultralytics.comから直接ご連絡いただけます。当社のセキュリティチームが調査し、できるだけ早く対応いたします。
Ultralyticsのすべてのオープンソースプロジェクトを安全に保つためにご協力いただきありがとうございます 🙏。
よくある質問
Ultralyticsがユーザーデータを保護するために実装しているセキュリティ対策は何ですか?
Ultralyticsは、ユーザーデータとシステムを保護するために、包括的なセキュリティ戦略を採用しています。主な対策は以下のとおりです。
- Snykスキャン: コードとDockerfileの脆弱性を検出するためのセキュリティスキャンを実施します。
- GitHub CodeQL: コードのセマンティクスを分析して、SQLインジェクションなどの複雑な脆弱性を検出します。
- Dependabotアラート: 既知の脆弱性について依存関係を監視し、迅速な修正のためにアラートを送信します。
- シークレットスキャン: コードリポジトリ内の認証情報や秘密鍵などの機密データを検出し、データ侵害を防ぎます。
- 非公開の脆弱性報告: 潜在的なセキュリティ問題を慎重に報告するための安全なチャネルを提供します。
これらのツールは、セキュリティ問題のプロアクティブな特定と解決を保証し、システム全体のセキュリティを強化します。詳細については、エクスポートに関するドキュメントをご覧ください。
Ultralyticsは、セキュリティスキャンにSnykをどのように利用していますか?
Ultralyticsは、リポジトリに対して徹底的なセキュリティスキャンを実施するためにSnykを利用しています。Snykは、基本的な依存関係のチェックにとどまらず、コードとDockerfileを調べてさまざまな脆弱性を検出します。潜在的なセキュリティ問題を事前に特定して解決することで、Ultralyticsのオープンソースプロジェクトのセキュリティと信頼性を維持します。Snykバッジの確認とデプロイメントの詳細については、Snykスキャンセクションをご覧ください。
Snykバッジを確認し、そのデプロイメントの詳細については、Snykスキャンセクションを確認してください。
CodeQL とは何ですか?また、Ultralytics のセキュリティをどのように強化しますか?
CodeQLは、GitHub経由でUltralyticsのワークフローに統合されたセキュリティ分析ツールです。これは、SQLインジェクションやクロスサイトスクリプティング(XSS)などの複雑な脆弱性を特定するために、コードベースを詳細に調査します。CodeQLは、コードのセマンティック構造を分析して高度なレベルのセキュリティを提供し、潜在的なリスクの早期検出と軽減を保証します。
CodeQLの使用方法の詳細については、GitHub CodeQLスキャンセクションをご覧ください。
Dependabotは、Ultralyticsのコードセキュリティを維持するためにどのように役立ちますか?
Dependabotは、既知の脆弱性に対する依存関係を監視および管理する自動化ツールです。DependabotがUltralyticsプロジェクトの依存関係の脆弱性を検出すると、アラートを送信し、チームが迅速に対処して問題を軽減できるようにします。これにより、依存関係が安全かつ最新の状態に保たれ、潜在的なセキュリティリスクが最小限に抑えられます。
詳細については、GitHub Dependabot Alertsセクションをご覧ください。
Ultralyticsは、プライベートな脆弱性報告をどのように処理しますか?
Ultralyticsでは、プライベートチャネルを通じて潜在的なセキュリティ問題を報告することを推奨しています。脆弱性は、お問い合わせフォームまたはsecurity@ultralytics.comにメールで個別に報告できます。これにより、責任ある情報開示が保証され、セキュリティチームが脆弱性を安全かつ効率的に調査して対処できます。
プライベートな脆弱性レポートの詳細については、プライベートな脆弱性レポートセクションをご覧ください。
