Ultralytics セキュリティ・ポリシー

Q: How does Ultralytics use Snyk for security scanning?

Ultralytics は Snyk を利用して、リポジトリの徹底的なセキュリティスキャンを実施しています。Snykは基本的な依存関係のチェックにとどまらず、コードやDockerfileにさまざまな脆弱性がないかどうかを調べます。潜在的なセキュリティ問題を積極的に特定し解決することで、SnykはUltralytics' オープンソースプロジェクトが安全で信頼性の高い状態を維持できるよう支援します。Snykバッジを確認し、そのデプロイメントについて詳しく知るには、Snyk Scanningセクションをご覧ください。

Q: What is CodeQL and how does it enhance security for Ultralytics?

CodeQL は、GitHub を介してUltralytics' ワークフローに統合されたセキュリティ分析ツールです。コードベースを深く掘り下げ、SQLインジェクションやクロスサイトスクリプティング（XSS）などの複雑な脆弱性を特定します。CodeQL はコードのセマンティック構造を分析して高度なセキュリティレベルを提供し、潜在的なリスクの早期発見と軽減を確実にします。CodeQLの使用方法の詳細については、GitHub CodeQL Scanningセクションをご覧ください。

Q: How does Dependabot help maintain Ultralytics' code security?

Dependabot は、既知の脆弱性について依存関係を監視・管理する自動化ツールです。Dependabot がUltralytics プロジェクトの依存関係に脆弱性を検出すると、アラートが送信され、チームは迅速に問題に対処して緩和することができます。これにより、依存関係が安全かつ最新の状態に保たれ、潜在的なセキュリティリスクを最小限に抑えることができます。詳細については、GitHub Dependabot Alertsセクションをご覧ください。

において Ultralyticsでは、ユーザーのデータとシステムのセキュリティを最も重要視しています。私たちのオープンソースプロジェクトの安全性とセキュリティを確保するために、私たちはセキュリティの脆弱性を検出し、防止するためのいくつかの対策を実施しています。

スニーク・スキャニング

私たちはSnyk を利用して、Ultralytics リポジトリの包括的なセキュリティスキャンを行っています。Snykの堅牢なスキャン機能は、依存関係のチェックにとどまらず、当社のコードとDockerfileにさまざまな脆弱性がないかどうかを調べます。このような問題を未然に特定し対処することで、ユーザに対してより高いレベルのセキュリティと信頼性を保証しています。

GitHub CodeQLスキャン

私たちのセキュリティ戦略には、GitHubのCodeQLスキャンが含まれています。CodeQLは私たちのコードベースを深く掘り下げ、コードの意味構造を分析することでSQLインジェクションやXSSのような複雑な脆弱性を特定します。この高度な分析により、潜在的なセキュリティリスクを早期に発見し、解決することができます。

GitHub Dependabotアラート

Dependabotは私たちのワークフローに統合されており、既知の脆弱性について依存関係を監視しています。私たちの依存関係の1つに脆弱性が特定されると、Dependabotは私たちに警告を発し、迅速かつ情報に基づいた修正アクションを可能にします。

GitHub シークレットスキャン警告

私たちはGitHubのシークレットスキャンアラートを採用し、誤ってリポジトリにプッシュされた認証情報や秘密鍵などの機密データを検知しています。この早期発見メカニズムにより、潜在的なセキュリティ侵害やデータ流出を防ぐことができます。

プライベート脆弱性報告

私たちはプライベートな脆弱性報告を可能にし、ユーザーが潜在的なセキュリティ問題を目立たないように報告できるようにしています。このアプローチは、責任ある情報公開を促進し、脆弱性が安全かつ効率的に処理されることを保証します。

私たちのリポジトリにセキュリティの脆弱性が疑われる場合、または発見した場合は、直ちにお知らせください。お問い合わせフォームまたはsecurity@ultralytics.comから直接ご連絡ください。当社のセキュリティチームが調査し、できるだけ早く対応いたします。

すべてのUltralytics オープンソースプロジェクトを安全かつ安全に保つため、皆様のご協力をお願いいたします🙏。

よくあるご質問

Ultralytics 、ユーザーデータを保護するためにどのようなセキュリティ対策がとられていますか？

Ultralytics は、ユーザーのデータとシステムを保護するための包括的なセキュリティ戦略を採用しています。主な対策は以下の通り：

Snykスキャン：コードとDockerfileの脆弱性を検出するためにセキュリティスキャンを実施します。
GitHub CodeQL：コードのセマンティクスを解析し、SQLインジェクションなどの複雑な脆弱性を検出します。
Dependabot アラート：既知の脆弱性のために依存関係を監視し、迅速な修復のためにアラートを送信します。
シークレットスキャン：コードリポジトリ内の認証情報や秘密鍵のような機密データを検出し、データ漏洩を防ぎます。
プライベート脆弱性報告：ユーザーが潜在的なセキュリティ問題を目立たないように報告するための安全なチャネルを提供します。

これらのツールは、セキュリティ問題のプロアクティブな特定と解決を確実にし、システム全体のセキュリティを強化します。詳細については、輸出関連文書をご覧ください。

Ultralytics 、セキュリティ・スキャンにSnykをどのように使用していますか？

Ultralytics はSnykを利用して、リポジトリの徹底的なセキュリティスキャンを実施しています。Snykは基本的な依存関係のチェックにとどまらず、コードやDockerfileにさまざまな脆弱性がないかどうかを調べます。潜在的なセキュリティ問題を積極的に特定し解決することで、SnykはUltralytics' オープンソースプロジェクトが安全で信頼性の高い状態を維持できるよう支援します。

Snyk バッジを確認し、その展開について詳しく知るには、Snyk Scanning セクションをご覧ください。

CodeQLとは何か、そしてUltralytics 、どのようにセキュリティを強化するのか？

CodeQLは、GitHub を介してUltralytics' ワークフローに統合されたセキュリティ分析ツールです。コードベースを深く掘り下げ、SQLインジェクションやクロスサイトスクリプティング（XSS）などの複雑な脆弱性を特定します。CodeQL はコードのセマンティック構造を分析して高度なセキュリティレベルを提供し、潜在的なリスクの早期発見と軽減を確実にします。

CodeQLの使用方法の詳細については、GitHub CodeQL Scanningセクションをご覧ください。

Dependabotは、Ultralytics' コードのセキュリティを維持するためにどのように役立ちますか？

Dependabotは、既知の脆弱性について依存関係を監視・管理する自動化ツールです。Dependabot がUltralytics プロジェクトの依存関係に脆弱性を検出すると、アラートが送信され、チームは迅速に問題に対処して緩和することができます。これにより、依存関係が安全かつ最新の状態に保たれ、潜在的なセキュリティリスクを最小限に抑えることができます。

詳細については、GitHub Dependabot Alertsセクションを参照してください。

Ultralytics 、プライベートな脆弱性報告はどのように扱われるのか？

Ultralytics は、潜在的なセキュリティ問題をプライベート・チャネルを通じて報告することをユーザーに推奨しています。ユーザーは、コンタクトフォームまたはsecurity@ultralytics.comに電子メールを送ることで、目立たないように脆弱性を報告することができます。これにより、責任ある情報開示が保証され、セキュリティチームが安全かつ効率的に脆弱性を調査し、対処することができます。

プライベート脆弱性報告の詳細については、プライベート脆弱性報告のセクションを参照してください。

作成日: 2023-11-12 更新日: 2024-07-04
作成者:Glenn-jocher(3)