Редактировать страницу на GitHub (EN)

Политика безопасности Ultralytics

В Ultralytics безопасность данных и систем наших пользователей имеет первостепенное значение. Чтобы обеспечить безопасность наших проектов с открытым исходным кодом, мы внедрили ряд мер для обнаружения и предотвращения уязвимостей в системе безопасности.

Сканирование Snyk

Мы используем Snyk для проведения комплексного сканирования безопасности репозиториев Ultralytics. Мощные возможности сканирования Snyk выходят далеко за рамки проверки зависимостей; он также проверяет наш код и Dockerfiles на наличие различных уязвимостей. Выявляя и устраняя эти проблемы на раннем этапе, мы обеспечиваем более высокий уровень безопасности и надежности для наших пользователей.

ultralytics

Сканирование GitHub CodeQL

Наша стратегия безопасности включает сканирование с помощью CodeQL от GitHub. CodeQL глубоко анализирует нашу кодовую базу, выявляя сложные уязвимости, такие как SQL-инъекции и XSS, путем изучения семантической структуры кода. Такой продвинутый уровень анализа гарантирует раннее обнаружение и устранение потенциальных рисков безопасности.

CodeQL

Оповещения GitHub Dependabot

Dependabot интегрирован в наш рабочий процесс для отслеживания известных уязвимостей в зависимостях. Когда в одной из наших зависимостей обнаруживается уязвимость, Dependabot предупреждает нас, позволяя оперативно и осознанно принимать меры по ее устранению.

Оповещения о секретах в GitHub (Secret Scanning)

Мы используем оповещения secret scanning от GitHub для обнаружения конфиденциальных данных, таких как учетные данные и закрытые ключи, случайно попавших в наши репозитории. Этот механизм раннего обнаружения помогает предотвратить потенциальные нарушения безопасности и утечки данных.

Приватное сообщение об уязвимостях

Мы внедрили систему приватного сообщения об уязвимостях, позволяющую пользователям конфиденциально сообщать о возможных проблемах безопасности. Такой подход способствует ответственному раскрытию информации и гарантирует, что уязвимости будут обработаны безопасно и эффективно.

Если ты подозреваешь наличие или обнаружил уязвимость в любом из наших репозиториев, пожалуйста, немедленно сообщи нам об этом. Ты можешь связаться с нами напрямую через нашу контактную форму или по адресу security@ultralytics.com. Наша команда безопасности изучит вопрос и ответит в кратчайшие сроки.

Мы ценим твою помощь в обеспечении безопасности и надежности всех проектов Ultralytics с открытым исходным кодом для каждого.

Часто задаваемые вопросы (FAQ)

Какие меры безопасности применяет Ultralytics для защиты данных пользователей?

Ultralytics использует комплексную стратегию безопасности для защиты данных и систем пользователей. Ключевые меры включают:

  • Сканирование Snyk: проводит сканирование безопасности для обнаружения уязвимостей в коде и Dockerfiles.
  • GitHub CodeQL: анализирует семантику кода для обнаружения сложных уязвимостей, таких как SQL-инъекции.
  • Оповещения Dependabot: отслеживает зависимости на наличие известных уязвимостей и отправляет оповещения для быстрого устранения.
  • Secret Scanning: обнаруживает конфиденциальные данные, такие как учетные данные или закрытые ключи, в репозиториях кода, чтобы предотвратить утечки данных.
  • Приватное сообщение об уязвимостях: предоставляет защищенный канал для пользователей, чтобы конфиденциально сообщать о возможных проблемах безопасности.

Эти инструменты обеспечивают проактивное выявление и устранение проблем безопасности, повышая общую защищенность системы. Для получения дополнительной информации изучи разделы выше или свяжись с командой безопасности при возникновении вопросов.

Как Ultralytics использует Snyk для сканирования безопасности?

Ultralytics использует Snyk для проведения тщательного сканирования безопасности своих репозиториев. Snyk выходит за рамки базовых проверок зависимостей, изучая код и Dockerfiles на наличие различных уязвимостей. Проактивно выявляя и устраняя потенциальные угрозы, Snyk помогает гарантировать, что проекты Ultralytics с открытым исходным кодом остаются безопасными и надежными.

Чтобы увидеть значок Snyk и узнать больше о его внедрении, ознакомься с разделом о сканировании Snyk.

Что такое CodeQL и как он повышает безопасность для Ultralytics?

CodeQL — это инструмент анализа безопасности, интегрированный в рабочий процесс Ultralytics через GitHub. Он глубоко анализирует кодовую базу для выявления сложных уязвимостей, таких как SQL-инъекции и межсайтовый скриптинг (XSS). CodeQL изучает семантическую структуру кода для обеспечения высокого уровня безопасности, гарантируя раннее обнаружение и снижение потенциальных рисков.

Для получения дополнительной информации о том, как используется CodeQL, посети раздел сканирования GitHub CodeQL.

Как Dependabot помогает поддерживать безопасность кода Ultralytics?

Dependabot — это автоматизированный инструмент, который отслеживает и управляет зависимостями на предмет известных уязвимостей. Когда Dependabot обнаруживает уязвимость в зависимости проекта Ultralytics, он отправляет оповещение, позволяя команде быстро отреагировать и устранить проблему. Это гарантирует, что зависимости остаются безопасными и актуальными, сводя к минимуму потенциальные риски безопасности.

Для получения подробной информации изучи раздел об оповещениях GitHub Dependabot.

Как Ultralytics обрабатывает приватные сообщения об уязвимостях?

Ultralytics призывает пользователей сообщать о возможных проблемах безопасности через приватные каналы. Пользователи могут сообщать об уязвимостях конфиденциально через контактную форму или написав на security@ultralytics.com. Это обеспечивает ответственное раскрытие информации и позволяет команде безопасности исследовать и устранять уязвимости надежным и эффективным способом.

Для получения дополнительной информации о приватном сообщении об уязвимостях обратись к разделу о приватном сообщении об уязвимостях.

Contributors
Редактировать страницу на GitHub (EN)
GLglenn-jocher5ONonuralpszr2PDpderrenger1