Перейти к содержанию

Политика безопасности Ultralytics

В Ultralytics безопасность данных и систем наших пользователей имеет первостепенное значение. Чтобы обеспечить безопасность наших проектов с открытым исходным кодом, мы внедрили ряд мер для обнаружения и предотвращения уязвимостей.

Snyk-сканирование

Мы используем Snyk для проведения комплексного сканирования безопасности репозиториев Ultralytics. Надежные возможности сканирования Snyk выходят за рамки проверки зависимостей; он также проверяет наш код и Dockerfile на наличие различных уязвимостей. Выявляя и устраняя эти проблемы заблаговременно, мы обеспечиваем более высокий уровень безопасности и надежности для наших пользователей.

ultralytics

Сканирование GitHub CodeQL

Наша стратегия безопасности включает сканирование CodeQL от GitHub. CodeQL глубоко изучает нашу кодовую базу, выявляя сложные уязвимости, такие как SQL-инъекции и XSS, путем анализа семантической структуры кода. Этот продвинутый уровень анализа обеспечивает раннее обнаружение и устранение потенциальных рисков безопасности.

CodeQL

Оповещения GitHub Dependabot

Dependabot интегрирован в наш рабочий процесс для мониторинга зависимостей на предмет известных уязвимостей. Когда в одной из наших зависимостей выявляется уязвимость, Dependabot предупреждает нас, позволяя оперативно и осознанно принимать меры по ее устранению.

Оповещения сканирования секретов GitHub

Мы используем оповещения GitHub о сканировании секретов для обнаружения конфиденциальных данных, таких как учетные данные и личные ключи, случайно отправленных в наши репозитории. Этот механизм раннего обнаружения помогает предотвратить потенциальные нарушения безопасности и утечки данных.

Сообщение о частных уязвимостях

Мы включаем частную отчетность об уязвимостях, позволяя пользователям незаметно сообщать о потенциальных проблемах безопасности. Этот подход способствует ответственному раскрытию информации, обеспечивая безопасную и эффективную обработку уязвимостей.

Если вы подозреваете или обнаружили уязвимость в системе безопасности в любом из наших репозиториев, пожалуйста, немедленно сообщите нам об этом. Вы можете связаться с нами напрямую через нашу форму обратной связи или по адресу security@ultralytics.com. Наша команда безопасности проведет расследование и ответит вам в кратчайшие сроки.

Мы ценим вашу помощь в обеспечении безопасности и защиты всех проектов Ultralytics с открытым исходным кодом для всех 🙏.

Часто задаваемые вопросы

Какие меры безопасности применяются Ultralytics для защиты пользовательских данных?

Ultralytics использует комплексную стратегию безопасности для защиты пользовательских данных и систем. Ключевые меры включают:

  • Сканирование Snyk: Проводит сканирование безопасности для обнаружения уязвимостей в коде и Dockerfile.
  • GitHub CodeQL: Анализирует семантику кода для обнаружения сложных уязвимостей, таких как SQL-инъекции.
  • Оповещения Dependabot: Отслеживает зависимости на предмет известных уязвимостей и отправляет оповещения для быстрого устранения.
  • Сканирование секретов: Обнаруживает конфиденциальные данные, такие как учетные данные или личные ключи, в репозиториях кода для предотвращения утечек данных.
  • Конфиденциальное сообщение об уязвимостях: Предлагает безопасный канал для пользователей, чтобы конфиденциально сообщать о потенциальных проблемах безопасности.

Эти инструменты обеспечивают проактивное выявление и устранение проблем безопасности, повышая общую безопасность системы. Для получения более подробной информации посетите нашу документацию по экспорту.

Как Ultralytics использует Snyk для сканирования безопасности?

Ultralytics использует Snyk для проведения тщательного сканирования безопасности своих репозиториев. Snyk выходит за рамки базовых проверок зависимостей, проверяя код и Dockerfile на наличие различных уязвимостей. Благодаря заблаговременному выявлению и устранению потенциальных проблем безопасности Snyk помогает обеспечить безопасность и надежность проектов Ultralytics с открытым исходным кодом.

Чтобы увидеть значок Snyk и узнать больше о его развертывании, ознакомьтесь с разделом Сканирование Snyk.

Что такое CodeQL и как он повышает безопасность для Ultralytics?

CodeQL — это инструмент анализа безопасности, интегрированный в рабочий процесс Ultralytics через GitHub. Он глубоко изучает кодовую базу для выявления сложных уязвимостей, таких как SQL-инъекции и межсайтовый скриптинг (XSS). CodeQL анализирует семантическую структуру кода, обеспечивая продвинутый уровень безопасности, гарантируя раннее обнаружение и смягчение потенциальных рисков.

Для получения дополнительной информации об использовании CodeQL посетите раздел Сканирование CodeQL GitHub.

Как Dependabot помогает поддерживать безопасность кода Ultralytics?

Dependabot — это автоматизированный инструмент, который отслеживает зависимости на предмет известных уязвимостей и управляет ими. Когда Dependabot обнаруживает уязвимость в зависимости проекта Ultralytics, он отправляет предупреждение, позволяя команде быстро решить и устранить проблему. Это гарантирует, что зависимости остаются безопасными и актуальными, сводя к минимуму потенциальные риски безопасности.

Для получения более подробной информации изучите раздел Оповещения GitHub Dependabot.

Как Ultralytics обрабатывает отчеты о частных уязвимостях?

Ultralytics призывает пользователей сообщать о потенциальных проблемах безопасности по частным каналам. Пользователи могут конфиденциально сообщать об уязвимостях через форму обратной связи или по электронной почте security@ultralytics.com. Это обеспечивает ответственное раскрытие информации и позволяет команде безопасности безопасно и эффективно расследовать и устранять уязвимости.

Для получения дополнительной информации о частном сообщении об уязвимостях обратитесь к разделу Частное сообщение об уязвимостях.



📅 Создано 1 год назад ✏️ Обновлено 7 месяцев назад
glenn-jocher UltralyticsAssistant