Перейти к содержимому

Ultralytics Политика безопасности

На сайте Ultralyticsбезопасность данных и систем наших пользователей имеет первостепенное значение. Чтобы обеспечить безопасность и сохранность наших проектов с открытым исходным кодом, мы внедрили ряд мер по обнаружению и предотвращению уязвимостей в системе безопасности.

Сканирование Snyk

Мы используем Snyk для проведения комплексного сканирования безопасности репозиториев Ultralytics . Возможности надежного сканирования Snyk не ограничиваются проверкой зависимостей; он также проверяет наш код и Docker-файлы на наличие различных уязвимостей. Выявляя и устраняя эти проблемы проактивно, мы обеспечиваем более высокий уровень безопасности и надежности для наших пользователей.

ultralytics

Сканирование GitHub CodeQL

Наша стратегия безопасности включает в себя сканирование CodeQL на GitHub. CodeQL глубоко проникает в нашу кодовую базу, выявляя сложные уязвимости вроде SQL-инъекций и XSS путем анализа семантической структуры кода. Такой продвинутый уровень анализа обеспечивает раннее обнаружение и устранение потенциальных рисков безопасности.

CodeQL

GitHub Dependabot Alerts

Dependabot интегрирован в наш рабочий процесс для мониторинга зависимостей на предмет известных уязвимостей. Когда в одной из наших зависимостей обнаруживается уязвимость, Dependabot оповещает нас, что позволяет быстро и обоснованно принять меры по ее устранению.

Предупреждения о сканировании секретов GitHub

Мы используем оповещения о секретном сканировании GitHub, чтобы обнаружить конфиденциальные данные, такие как учетные данные и приватные ключи, случайно размещенные в наших репозиториях. Этот механизм раннего обнаружения помогает предотвратить потенциальные нарушения безопасности и раскрытие данных.

Частные отчеты об уязвимостях

Мы обеспечиваем приватное информирование об уязвимостях, позволяя пользователям незаметно сообщать о потенциальных проблемах безопасности. Такой подход способствует ответственному раскрытию информации, обеспечивая безопасную и эффективную работу с уязвимостями.

Если ты заподозрил или обнаружил уязвимость в безопасности любого из наших репозиториев, немедленно сообщи нам об этом. Ты можешь связаться с нами напрямую через нашу контактную форму или по адресу security@ultralytics.com. Наша команда безопасности проведет расследование и ответит как можно скорее.

Мы ценим твою помощь в том, чтобы все проекты Ultralytics с открытым исходным кодом были надежными и безопасными для всех 🙏.

ВОПРОСЫ И ОТВЕТЫ

Какие меры безопасности применяет Ultralytics для защиты пользовательских данных?

Ultralytics Использует комплексную стратегию безопасности для защиты пользовательских данных и систем. Основные меры включают в себя:

  • Сканирование Snyk: Проводит сканирование безопасности, чтобы обнаружить уязвимости в коде и Docker-файлах.
  • GitHub CodeQL: Анализирует семантику кода, чтобы обнаружить сложные уязвимости, такие как SQL-инъекции.
  • Dependabot Alerts: Следит за зависимостями на предмет известных уязвимостей и отправляет оповещения для быстрого устранения.
  • Сканирование секретов: Обнаружение секретных данных, таких как учетные данные или закрытые ключи, в хранилищах кода, чтобы предотвратить утечку информации.
  • Приватное информирование об уязвимостях: Предлагает пользователям безопасный канал, по которому можно незаметно сообщать о потенциальных проблемах безопасности.

Эти инструменты обеспечивают проактивное выявление и решение проблем с безопасностью, повышая общую защищенность системы. Более подробную информацию ты можешь найти в нашей экспортной документации.

Как Ultralytics использует Snyk для сканирования безопасности?

Ultralytics Используй Snyk для тщательного сканирования безопасности своих репозиториев. Snyk выходит за рамки базовых проверок зависимостей, исследуя код и Docker-файлы на предмет различных уязвимостей. Проактивно выявляя и решая потенциальные проблемы безопасности, Snyk помогает гарантировать, что Ultralytics' open-source проекты остаются безопасными и надежными.

Чтобы увидеть значок Snyk и узнать больше о его развертывании, загляни в раздел "Сканирование Snyk".

Что такое CodeQL и как он повышает безопасность Ultralytics?

CodeQL - это инструмент анализа безопасности, интегрированный в рабочий процесс Ultralytics' через GitHub. Он глубоко проникает в кодовую базу, чтобы выявить сложные уязвимости, такие как SQL-инъекции и межсайтовый скриптинг (XSS). CodeQL анализирует семантическую структуру кода, чтобы обеспечить продвинутый уровень безопасности, гарантируя раннее обнаружение и снижение потенциальных рисков.

Подробнее о том, как используется CodeQL, читай в разделе GitHub CodeQL Scanning.

Как Dependabot помогает поддерживать безопасность кода Ultralytics'?

Dependabot - это автоматизированный инструмент, который отслеживает и управляет зависимостями на предмет известных уязвимостей. Когда Dependabot обнаруживает уязвимость в зависимости проекта Ultralytics , он отправляет оповещение, позволяя команде быстро решить проблему и устранить ее. Это обеспечивает безопасность и актуальность зависимостей, сводя к минимуму потенциальные риски безопасности.

Для получения более подробной информации изучи раздел GitHub Dependabot Alerts.

Как Ultralytics относится к частным сообщениям об уязвимостях?

Ultralytics призывает пользователей сообщать о потенциальных проблемах безопасности по частным каналам. Пользователи могут незаметно сообщить об уязвимостях через контактную форму или по электронной почте security@ultralytics.com. Это гарантирует ответственное раскрытие информации и позволяет команде безопасности безопасно и эффективно расследовать и устранять уязвимости.

Подробнее о частных сообщениях об уязвимостях читай в разделе "Частные сообщения об уязвимостях".



Создано 2023-11-12, Обновлено 2024-07-04
Авторы: glenn-jocher (3)