Ultralytics 보안 정책

에서 Ultralytics에서는 사용자의 데이터와 시스템의 보안을 가장 중요하게 생각합니다. 오픈소스 프로젝트의 안전과 보안을 보장하기 위해 보안 취약점을 탐지하고 예방하기 위한 몇 가지 조치를 시행하고 있습니다.

스닉 스캐닝

저희는 Snyk를 활용하여 Ultralytics 리포지토리에 대한 종합적인 보안 검사를 수행합니다. Snyk의 강력한 스캔 기능은 종속성 검사를 넘어 코드와 Docker파일에 다양한 취약점이 있는지 검사합니다. 이러한 문제를 사전에 파악하고 해결함으로써 사용자에게 더 높은 수준의 보안과 안정성을 보장합니다.

GitHub CodeQL 스캔

저희의 보안 전략에는 GitHub의 CodeQL 스캔이 포함됩니다. CodeQL은 코드의 시맨틱 구조를 분석하여 SQL 인젝션 및 XSS와 같은 복잡한 취약점을 식별함으로써 코드베이스를 심층적으로 분석합니다. 이러한 고급 분석 수준은 잠재적인 보안 위험을 조기에 발견하고 해결할 수 있도록 보장합니다.

GitHub Dependabot 알림

Dependabot은 워크플로에 통합되어 알려진 취약점에 대한 종속성을 모니터링합니다. 종속성 중 하나에서 취약점이 발견되면 Dependabot이 알려주므로 신속하고 정보에 입각한 수정 조치를 취할 수 있습니다.

GitHub 비밀 스캔 알림

저희는 실수로 리포지토리에 푸시된 자격증명 및 비공개 키와 같은 민감한 데이터를 감지하기 위해 GitHub 비밀 검색 알림을 사용합니다. 이 조기 감지 메커니즘은 잠재적인 보안 침해 및 데이터 노출을 방지하는 데 도움이 됩니다.

비공개 취약점 보고

비공개 취약점 보고를 활성화하여 사용자가 잠재적인 보안 문제를 신중하게 보고할 수 있도록 합니다. 이러한 접근 방식은 책임감 있는 공개를 촉진하여 취약점을 안전하고 효율적으로 처리할 수 있도록 합니다.

리포지토리에서 보안 취약점이 의심되거나 발견되면 즉시 알려주시기 바랍니다. 문의 양식 또는 보안@ultralytics.com을 통해 직접 문의하실 수 있습니다. 보안팀에서 최대한 빨리 조사하여 답변해 드리겠습니다.

모든 Ultralytics 오픈소스 프로젝트를 안전하게 보호하는 데 도움을 주셔서 감사합니다 🙏.

자주 묻는 질문

Ultralytics 에서 사용자 데이터를 보호하기 위해 시행하는 보안 조치는 무엇인가요?

Ultralytics 는 사용자 데이터와 시스템을 보호하기 위해 포괄적인 보안 전략을 사용합니다. 주요 조치에는 다음이 포함됩니다:

• 스닉 스캔: 보안 스캔을 수행하여 코드 및 Docker파일의 취약점을 탐지합니다.
• GitHub CodeQL: 코드 시맨틱을 분석하여 SQL 인젝션과 같은 복잡한 취약점을 탐지합니다.
• Dependabot 알림: 알려진 취약점에 대한 종속성을 모니터링하고 신속한 해결을 위해 경고를 보냅니다.
• 비밀 스캔: 코드 저장소에서 자격 증명이나 개인 키와 같은 민감한 데이터를 감지하여 데이터 유출을 방지합니다.
• 비공개 취약점 보고: 사용자가 잠재적인 보안 문제를 은밀하게 보고할 수 있는 안전한 채널을 제공합니다.

이러한 도구는 보안 문제를 사전에 식별하고 해결하여 전반적인 시스템 보안을 강화합니다. 자세한 내용은 내보내기 설명서를 참조하세요.

Ultralytics 보안 스캔에 Snyk를 어떻게 사용하나요?

Ultralytics 는 Snyk를 사용하여 리포지토리에 대한 철저한 보안 검사를 수행합니다. Snyk는 기본적인 종속성 검사를 넘어 코드와 Docker파일에 다양한 취약점이 있는지 검사합니다. 잠재적인 보안 문제를 사전에 식별하고 해결함으로써 Snyk는 Ultralytics' 오픈 소스 프로젝트의 보안과 안정성을 유지하도록 지원합니다.

스닉 배지를 확인하고 배포에 대해 자세히 알아보려면 스닉 스캐닝 섹션을 확인하세요.

CodeQL이란 무엇이며 Ultralytics 의 보안을 어떻게 강화하나요?

CodeQL은 GitHub를 통해 Ultralytics' 워크플로에 통합된 보안 분석 도구입니다. 코드베이스를 심층적으로 분석하여 SQL 인젝션 및 크로스 사이트 스크립팅(XSS)과 같은 복잡한 취약점을 식별합니다. CodeQL은 코드의 시맨틱 구조를 분석하여 고급 수준의 보안을 제공함으로써 잠재적인 위험을 조기에 감지하고 완화할 수 있도록 합니다.

CodeQL 사용 방법에 대한 자세한 내용은 GitHub CodeQL 스캔 섹션을 참조하세요.

Dependabot은 Ultralytics' 코드 보안을 유지하는 데 어떻게 도움이 되나요?

Dependabot은 알려진 취약점에 대한 종속성을 모니터링하고 관리하는 자동화된 도구입니다. Dependabot은 Ultralytics 프로젝트 종속성에서 취약점을 감지하면 경고를 보내 팀이 문제를 신속하게 해결하고 완화할 수 있도록 합니다. 이렇게 하면 종속성을 안전하게 최신 상태로 유지하여 잠재적인 보안 위험을 최소화할 수 있습니다.

자세한 내용은 GitHub Dependabot 알림 섹션을 참조하세요.

Ultralytics 에서는 비공개 취약점 신고를 어떻게 처리하나요?

Ultralytics 는 사용자가 비공개 채널을 통해 잠재적인 보안 문제를 신고하도록 권장합니다. 사용자는 문의 양식을 통해 또는 보안@ultralytics.com으로 이메일을 보내 취약점을 신중하게 보고할 수 있습니다. 이를 통해 책임감 있는 공개를 보장하고 보안팀이 취약점을 안전하고 효율적으로 조사하고 해결할 수 있습니다.

비공개 취약점 보고에 대한 자세한 내용은 비공개 취약점 보고 섹션을 참조하세요.