Chỉnh sửa trang trên GitHub (EN)

Chính sách bảo mật của Ultralytics

Tại Ultralytics, bảo mật dữ liệu và hệ thống của người dùng là ưu tiên hàng đầu của chúng tôi. Để đảm bảo an toàn và bảo mật cho các dự án nguồn mở, chúng tôi đã triển khai nhiều biện pháp nhằm phát hiện và ngăn chặn các lỗ hổng bảo mật.

Quét bằng Snyk

Chúng tôi sử dụng Snyk để thực hiện quét bảo mật toàn diện trên các kho lưu trữ của Ultralytics. Khả năng quét mạnh mẽ của Snyk không chỉ dừng lại ở kiểm tra các dependency mà còn kiểm tra mã nguồn và các Dockerfile để tìm nhiều lỗ hổng khác nhau. Bằng cách chủ động xác định và xử lý các vấn đề này, chúng tôi đảm bảo mức độ bảo mật và độ tin cậy cao hơn cho người dùng.

ultralytics

Quét bằng GitHub CodeQL

Chiến lược bảo mật của chúng tôi bao gồm việc sử dụng tính năng quét CodeQL của GitHub. CodeQL đi sâu vào codebase của chúng tôi, xác định các lỗ hổng phức tạp như SQL injection và XSS bằng cách phân tích cấu trúc ngữ nghĩa của mã nguồn. Mức độ phân tích nâng cao này đảm bảo khả năng phát hiện sớm và giải quyết các rủi ro bảo mật tiềm ẩn.

CodeQL

Cảnh báo GitHub Dependabot

Dependabot được tích hợp vào quy trình làm việc của chúng tôi để giám sát các dependency nhằm phát hiện các lỗ hổng đã biết. Khi một lỗ hổng được xác định trong một trong các dependency của chúng tôi, Dependabot sẽ gửi cảnh báo, cho phép chúng tôi thực hiện các biện pháp khắc phục nhanh chóng và có thông tin đầy đủ.

Cảnh báo quét bí mật của GitHub

Chúng tôi sử dụng các cảnh báo quét bí mật của GitHub để phát hiện dữ liệu nhạy cảm, chẳng hạn như thông tin đăng nhập và khóa riêng tư, vô tình bị đẩy lên các kho lưu trữ của chúng tôi. Cơ chế phát hiện sớm này giúp ngăn chặn các vi phạm bảo mật và lộ lọt dữ liệu tiềm ẩn.

Báo cáo lỗ hổng bảo mật riêng tư

Chúng tôi cho phép báo cáo lỗ hổng bảo mật một cách riêng tư, giúp người dùng có thể thông báo các vấn đề bảo mật tiềm ẩn một cách kín đáo. Cách tiếp cận này thúc đẩy việc tiết lộ có trách nhiệm, đảm bảo các lỗ hổng được xử lý một cách an toàn và hiệu quả.

Nếu bạn nghi ngờ hoặc phát hiện ra lỗ hổng bảo mật trong bất kỳ kho lưu trữ nào của chúng tôi, vui lòng cho chúng tôi biết ngay lập tức. Bạn có thể liên hệ trực tiếp với chúng tôi qua biểu mẫu liên hệ hoặc qua security@ultralytics.com. Đội ngũ bảo mật của chúng tôi sẽ điều tra và phản hồi sớm nhất có thể.

Chúng tôi đánh giá cao sự giúp đỡ của bạn trong việc giữ cho tất cả các dự án nguồn mở của Ultralytics được bảo mật và an toàn cho mọi người.

Câu hỏi thường gặp (FAQ)

Các biện pháp bảo mật mà Ultralytics triển khai để bảo vệ dữ liệu người dùng là gì?

Ultralytics áp dụng một chiến lược bảo mật toàn diện để bảo vệ dữ liệu và hệ thống người dùng. Các biện pháp chính bao gồm:

  • Quét bằng Snyk: Thực hiện quét bảo mật để phát hiện lỗ hổng trong mã nguồn và Dockerfile.
  • GitHub CodeQL: Phân tích ngữ nghĩa mã nguồn để phát hiện các lỗ hổng phức tạp như SQL injection.
  • Cảnh báo Dependabot: Giám sát các dependency để tìm lỗ hổng đã biết và gửi cảnh báo để khắc phục nhanh chóng.
  • Quét bí mật: Phát hiện dữ liệu nhạy cảm như thông tin đăng nhập hoặc khóa riêng tư trong các kho lưu trữ mã nguồn để ngăn chặn rò rỉ dữ liệu.
  • Báo cáo lỗ hổng bảo mật riêng tư: Cung cấp kênh bảo mật để người dùng báo cáo các vấn đề bảo mật tiềm ẩn một cách kín đáo.

Các công cụ này đảm bảo việc xác định và giải quyết sớm các vấn đề bảo mật, tăng cường bảo mật tổng thể cho hệ thống. Để biết thêm chi tiết, hãy khám phá các phần trên hoặc liên hệ với đội ngũ bảo mật nếu có bất kỳ câu hỏi nào.

Ultralytics sử dụng Snyk để quét bảo mật như thế nào?

Ultralytics sử dụng Snyk để thực hiện các đợt quét bảo mật kỹ lưỡng trên các kho lưu trữ của mình. Snyk vượt xa các kiểm tra dependency cơ bản, nó kiểm tra mã nguồn và Dockerfile để tìm nhiều lỗ hổng khác nhau. Bằng cách chủ động xác định và giải quyết các vấn đề bảo mật tiềm ẩn, Snyk giúp đảm bảo các dự án nguồn mở của Ultralytics luôn an toàn và đáng tin cậy.

Để xem huy hiệu Snyk và tìm hiểu thêm về việc triển khai, hãy xem phần Quét bằng Snyk.

CodeQL là gì và nó tăng cường bảo mật cho Ultralytics như thế nào?

CodeQL là một công cụ phân tích bảo mật được tích hợp vào quy trình làm việc của Ultralytics thông qua GitHub. Nó đi sâu vào codebase để xác định các lỗ hổng phức tạp như SQL injection và Cross-Site Scripting (XSS). CodeQL phân tích cấu trúc ngữ nghĩa của mã nguồn để cung cấp mức độ bảo mật nâng cao, đảm bảo phát hiện sớm và giảm thiểu các rủi ro tiềm ẩn.

Để biết thêm thông tin về cách sử dụng CodeQL, hãy truy cập phần Quét bằng GitHub CodeQL.

Dependabot giúp duy trì bảo mật mã nguồn của Ultralytics như thế nào?

Dependabot là một công cụ tự động giám sát và quản lý các dependency đối với các lỗ hổng đã biết. Khi Dependabot phát hiện lỗ hổng trong một dependency của dự án Ultralytics, nó sẽ gửi cảnh báo, cho phép đội ngũ nhanh chóng giải quyết và giảm thiểu vấn đề. Điều này đảm bảo các dependency luôn được bảo mật và cập nhật, giảm thiểu các rủi ro bảo mật tiềm ẩn.

Để biết thêm chi tiết, hãy khám phá phần Cảnh báo GitHub Dependabot.

Ultralytics xử lý việc báo cáo lỗ hổng bảo mật riêng tư như thế nào?

Ultralytics khuyến khích người dùng báo cáo các vấn đề bảo mật tiềm ẩn thông qua các kênh riêng tư. Người dùng có thể báo cáo lỗ hổng một cách kín đáo thông qua biểu mẫu liên hệ hoặc bằng cách gửi email tới security@ultralytics.com. Điều này đảm bảo việc tiết lộ có trách nhiệm và cho phép đội ngũ bảo mật điều tra và xử lý các lỗ hổng một cách an toàn và hiệu quả.

Để biết thêm thông tin về báo cáo lỗ hổng bảo mật riêng tư, hãy tham khảo phần Báo cáo lỗ hổng bảo mật riêng tư.

Contributors
Chỉnh sửa trang trên GitHub (EN)
GLglenn-jocher5ONonuralpszr2PDpderrenger1