Link to this sectionПолитика безопасности Ultralytics#
В Ultralytics безопасность данных и систем наших пользователей имеет первостепенное значение. Чтобы обеспечить безопасность наших проектов с открытым исходным кодом, мы внедрили ряд мер для обнаружения и предотвращения уязвимостей в системе безопасности.
Link to this sectionСканирование Snyk#
Мы используем Snyk для проведения комплексного сканирования безопасности репозиториев Ultralytics. Мощные возможности сканирования Snyk выходят далеко за рамки проверки зависимостей; он также проверяет наш код и Dockerfiles на наличие различных уязвимостей. Выявляя и устраняя эти проблемы на раннем этапе, мы обеспечиваем более высокий уровень безопасности и надежности для наших пользователей.
Link to this sectionСканирование GitHub CodeQL#
Наша стратегия безопасности включает сканирование с помощью CodeQL от GitHub. CodeQL глубоко анализирует нашу кодовую базу, выявляя сложные уязвимости, такие как SQL-инъекции и XSS, путем изучения семантической структуры кода. Такой продвинутый уровень анализа гарантирует раннее обнаружение и устранение потенциальных рисков безопасности.
Link to this sectionОповещения GitHub Dependabot#
Dependabot интегрирован в наш рабочий процесс для отслеживания известных уязвимостей в зависимостях. Когда в одной из наших зависимостей обнаруживается уязвимость, Dependabot предупреждает нас, позволяя оперативно и осознанно принимать меры по ее устранению.
Link to this sectionОповещения о секретах в GitHub (Secret Scanning)#
Мы используем оповещения secret scanning от GitHub для обнаружения конфиденциальных данных, таких как учетные данные и закрытые ключи, случайно попавших в наши репозитории. Этот механизм раннего обнаружения помогает предотвратить потенциальные нарушения безопасности и утечки данных.
Link to this sectionПриватное сообщение об уязвимостях#
Мы внедрили систему приватного сообщения об уязвимостях, позволяющую пользователям конфиденциально сообщать о возможных проблемах безопасности. Такой подход способствует ответственному раскрытию информации и гарантирует, что уязвимости будут обработаны безопасно и эффективно.
Если ты подозреваешь наличие или обнаружил уязвимость в любом из наших репозиториев, пожалуйста, немедленно сообщи нам об этом. Ты можешь связаться с нами напрямую через нашу контактную форму или по адресу security@ultralytics.com. Наша команда безопасности изучит вопрос и ответит в кратчайшие сроки.
Мы ценим твою помощь в обеспечении безопасности и надежности всех проектов Ultralytics с открытым исходным кодом для каждого.
Link to this sectionЧасто задаваемые вопросы (FAQ)#
Link to this sectionКакие меры безопасности применяет Ultralytics для защиты данных пользователей?#
Ultralytics использует комплексную стратегию безопасности для защиты данных и систем пользователей. Ключевые меры включают:
- Сканирование Snyk: проводит сканирование безопасности для обнаружения уязвимостей в коде и Dockerfiles.
- GitHub CodeQL: анализирует семантику кода для обнаружения сложных уязвимостей, таких как SQL-инъекции.
- Оповещения Dependabot: отслеживает зависимости на наличие известных уязвимостей и отправляет оповещения для быстрого устранения.
- Secret Scanning: обнаруживает конфиденциальные данные, такие как учетные данные или закрытые ключи, в репозиториях кода, чтобы предотвратить утечки данных.
- Приватное сообщение об уязвимостях: предоставляет защищенный канал для пользователей, чтобы конфиденциально сообщать о возможных проблемах безопасности.
Эти инструменты обеспечивают проактивное выявление и устранение проблем безопасности, повышая общую защищенность системы. Для получения дополнительной информации изучи разделы выше или свяжись с командой безопасности при возникновении вопросов.
Link to this sectionКак Ultralytics использует Snyk для сканирования безопасности?#
Ultralytics использует Snyk для проведения тщательного сканирования безопасности своих репозиториев. Snyk выходит за рамки базовых проверок зависимостей, изучая код и Dockerfiles на наличие различных уязвимостей. Проактивно выявляя и устраняя потенциальные угрозы, Snyk помогает гарантировать, что проекты Ultralytics с открытым исходным кодом остаются безопасными и надежными.
Чтобы увидеть значок Snyk и узнать больше о его внедрении, ознакомься с разделом о сканировании Snyk.
Link to this sectionЧто такое CodeQL и как он повышает безопасность для Ultralytics?#
CodeQL — это инструмент анализа безопасности, интегрированный в рабочий процесс Ultralytics через GitHub. Он глубоко анализирует кодовую базу для выявления сложных уязвимостей, таких как SQL-инъекции и межсайтовый скриптинг (XSS). CodeQL изучает семантическую структуру кода для обеспечения высокого уровня безопасности, гарантируя раннее обнаружение и снижение потенциальных рисков.
Для получения дополнительной информации о том, как используется CodeQL, посети раздел сканирования GitHub CodeQL.
Link to this sectionКак Dependabot помогает поддерживать безопасность кода Ultralytics?#
Dependabot — это автоматизированный инструмент, который отслеживает и управляет зависимостями на предмет известных уязвимостей. Когда Dependabot обнаруживает уязвимость в зависимости проекта Ultralytics, он отправляет оповещение, позволяя команде быстро отреагировать и устранить проблему. Это гарантирует, что зависимости остаются безопасными и актуальными, сводя к минимуму потенциальные риски безопасности.
Для получения подробной информации изучи раздел об оповещениях GitHub Dependabot.
Link to this sectionКак Ultralytics обрабатывает приватные сообщения об уязвимостях?#
Ultralytics призывает пользователей сообщать о возможных проблемах безопасности через приватные каналы. Пользователи могут сообщать об уязвимостях конфиденциально через контактную форму или написав на security@ultralytics.com. Это обеспечивает ответственное раскрытие информации и позволяет команде безопасности исследовать и устранять уязвимости надежным и эффективным способом.
Для получения дополнительной информации о приватном сообщении об уязвимостях обратись к разделу о приватном сообщении об уязвимостях.