Перейти к содержанию

Политика безопасности Ultralytics

В Ultralytics безопасность данных и систем наших пользователей имеет первостепенное значение. Чтобы обеспечить безопасность наших проектов с открытым исходным кодом, мы внедрили ряд мер для обнаружения и предотвращения уязвимостей.

Snyk-сканирование

Мы используем Snyk для проведения комплексного сканирования безопасности репозиториев Ultralytics. Надежные возможности сканирования Snyk выходят за рамки проверки зависимостей; он также проверяет наш код и Dockerfile на наличие различных уязвимостей. Выявляя и устраняя эти проблемы заблаговременно, мы обеспечиваем более высокий уровень безопасности и надежности для наших пользователей.

ultralytics

Сканирование GitHub CodeQL

Наша стратегия безопасности включает сканирование CodeQL от GitHub. CodeQL глубоко изучает нашу кодовую базу, выявляя сложные уязвимости, такие как SQL-инъекции и XSS, путем анализа семантической структуры кода. Этот продвинутый уровень анализа обеспечивает раннее обнаружение и устранение потенциальных рисков безопасности.

CodeQL

Оповещения GitHub Dependabot

Dependabot интегрирован в наш рабочий процесс для мониторинга зависимостей на предмет известных уязвимостей. Когда в одной из наших зависимостей выявляется уязвимость, Dependabot предупреждает нас, позволяя оперативно и осознанно принимать меры по ее устранению.

Оповещения сканирования секретов GitHub

Мы используем GitHub сканирование секретов для обнаружения конфиденциальных данных, таких как учетные данные и закрытые ключи, случайно отправленных в наши репозитории. Этот механизм раннего обнаружения помогает предотвратить потенциальные нарушения безопасности и утечки данных.

Сообщение о частных уязвимостях

Мы включаем частную отчетность об уязвимостях, позволяя пользователям незаметно сообщать о потенциальных проблемах безопасности. Этот подход способствует ответственному раскрытию информации, обеспечивая безопасную и эффективную обработку уязвимостей.

Если вы подозреваете или обнаружили уязвимость в системе безопасности в любом из наших репозиториев, пожалуйста, немедленно сообщите нам об этом. Вы можете связаться с нами напрямую через нашу форму обратной связи или по адресу security@ultralytics.com. Наша команда безопасности проведет расследование и ответит вам в кратчайшие сроки.

Мы ценим вашу помощь в обеспечении безопасности и защиты всех проектов Ultralytics с открытым исходным кодом для всех 🙏.

Часто задаваемые вопросы

Какие меры безопасности применяются Ultralytics для защиты пользовательских данных?

Ultralytics использует комплексную стратегию безопасности для защиты пользовательских данных и систем. Ключевые меры включают:

  • Snyk Scanning: Проводит сканирование безопасности для обнаружения уязвимостей в коде и Dockerfile.
  • GitHub CodeQL: Анализирует семантику кода для обнаружения сложных уязвимостей, таких как SQL-инъекции.
  • Оповещения Dependabot: Отслеживает зависимости на предмет известных уязвимостей и отправляет оповещения для быстрого устранения.
  • Сканирование секретов: Обнаруживает конфиденциальные данные, такие как учетные данные или личные ключи, в репозиториях кода для предотвращения утечек данных.
  • Конфиденциальное сообщение об уязвимостях: Предлагает безопасный канал для пользователей, чтобы конфиденциально сообщать о потенциальных проблемах безопасности.

Эти инструменты обеспечивают проактивное выявление и устранение проблем безопасности, повышая общую безопасность системы. Для получения более подробной информации изучите разделы выше или обратитесь в группу безопасности с любыми вопросами.

Как Ultralytics использует Snyk для сканирования безопасности?

Ultralytics использует Snyk для проведения тщательного сканирования безопасности своих репозиториев. Snyk выходит за рамки базовых проверок зависимостей, проверяя код и Dockerfile на наличие различных уязвимостей. Благодаря заблаговременному выявлению и устранению потенциальных проблем безопасности Snyk помогает обеспечить безопасность и надежность проектов Ultralytics с открытым исходным кодом.

Чтобы увидеть значок Snyk и узнать больше о его развертывании, ознакомьтесь с разделом Сканирование Snyk.

Что такое CodeQL и как он повышает безопасность для Ultralytics?

CodeQL — это инструмент анализа безопасности, интегрированный в рабочий процесс Ultralytics через GitHub. Он глубоко изучает кодовую базу для выявления сложных уязвимостей, таких как SQL-инъекции и межсайтовый скриптинг (XSS). CodeQL анализирует семантическую структуру кода, обеспечивая продвинутый уровень безопасности, гарантируя раннее обнаружение и смягчение потенциальных рисков.

Для получения дополнительной информации об использовании CodeQL посетите раздел Сканирование CodeQL GitHub.

Как Dependabot помогает поддерживать безопасность кода Ultralytics?

Dependabot — это автоматизированный инструмент, который отслеживает зависимости на предмет известных уязвимостей и управляет ими. Когда Dependabot обнаруживает уязвимость в зависимости проекта Ultralytics, он отправляет предупреждение, позволяя команде быстро решить и устранить проблему. Это гарантирует, что зависимости остаются безопасными и актуальными, сводя к минимуму потенциальные риски безопасности.

Для получения более подробной информации изучите раздел Оповещения GitHub Dependabot.

Как Ultralytics обрабатывает отчеты о частных уязвимостях?

Ultralytics призывает пользователей сообщать о потенциальных проблемах безопасности по частным каналам. Пользователи могут конфиденциально сообщать об уязвимостях через форму обратной связи или по электронной почте security@ultralytics.com. Это обеспечивает ответственное раскрытие информации и позволяет команде безопасности безопасно и эффективно расследовать и устранять уязвимости.

Для получения дополнительной информации о частном сообщении об уязвимостях обратитесь к разделу Частное сообщение об уязвимостях.



📅 Создано 2 года назад ✏️ Обновлено 25 дней назад
glenn-jocherUltralyticsAssistant