Skip to main content
Chỉnh sửa trên GitHub (EN)

Chính sách bảo mật của Ultralytics

Tại Ultralytics, bảo mật dữ liệu và hệ thống của người dùng là ưu tiên hàng đầu. Để đảm bảo sự an toàn và bảo mật cho các dự án mã nguồn mở, chúng tôi đã triển khai một số biện pháp nhằm phát hiện và ngăn chặn các lỗ hổng bảo mật.

Quét bằng Snyk

Chúng tôi sử dụng Snyk để thực hiện quét bảo mật toàn diện trên các kho lưu trữ của Ultralytics. Khả năng quét mạnh mẽ của Snyk không chỉ dừng lại ở việc kiểm tra các phần phụ thuộc (dependencies); nó còn kiểm tra mã nguồn và Dockerfiles của chúng tôi để tìm các lỗ hổng khác nhau. Bằng cách chủ động xác định và giải quyết các vấn đề này, chúng tôi đảm bảo mức độ bảo mật và độ tin cậy cao hơn cho người dùng.

ultralytics

Quét bằng GitHub CodeQL

Chiến lược bảo mật của chúng tôi bao gồm CodeQL quét của GitHub. CodeQL đi sâu vào codebase của chúng tôi, xác định các lỗ hổng phức tạp như SQL injection và XSS bằng cách phân tích cấu trúc ngữ nghĩa của mã nguồn. Mức độ phân tích nâng cao này đảm bảo khả năng phát hiện và giải quyết sớm các rủi ro bảo mật tiềm ẩn.

CodeQL

Cảnh báo từ GitHub Dependabot

Dependabot được tích hợp vào quy trình làm việc của chúng tôi để theo dõi các phần phụ thuộc nhằm tìm kiếm lỗ hổng đã biết. Khi một lỗ hổng được xác định trong một trong các phần phụ thuộc, Dependabot sẽ gửi cảnh báo cho chúng tôi, cho phép thực hiện các hành động khắc phục nhanh chóng và có thông tin đầy đủ.

Cảnh báo từ GitHub Secret Scanning

Chúng tôi sử dụng các cảnh báo secret scanning của GitHub để phát hiện dữ liệu nhạy cảm, chẳng hạn như thông tin đăng nhập và khóa cá nhân, bị đẩy nhầm vào các kho lưu trữ của chúng tôi. Cơ chế phát hiện sớm này giúp ngăn chặn các vi phạm bảo mật và rò rỉ dữ liệu tiềm ẩn.

Báo cáo lỗ hổng bảo mật riêng tư

Chúng tôi kích hoạt tính năng báo cáo lỗ hổng riêng tư, cho phép người dùng báo cáo các vấn đề bảo mật tiềm ẩn một cách kín đáo. Cách tiếp cận này tạo điều kiện cho việc công bố thông tin có trách nhiệm, đảm bảo các lỗ hổng được xử lý một cách an toàn và hiệu quả.

Nếu bạn nghi ngờ hoặc phát hiện ra lỗ hổng bảo mật trong bất kỳ kho lưu trữ nào của chúng tôi, vui lòng cho chúng tôi biết ngay lập tức. Bạn có thể liên hệ trực tiếp với chúng tôi qua biểu mẫu liên hệ hoặc qua security@ultralytics.com. Đội ngũ bảo mật của chúng tôi sẽ điều tra và phản hồi sớm nhất có thể.

Chúng tôi đánh giá cao sự hỗ trợ của bạn trong việc giữ cho tất cả các dự án mã nguồn mở của Ultralytics an toàn và bảo mật cho mọi người.

Câu hỏi thường gặp (FAQ)

Các biện pháp bảo mật nào được Ultralytics triển khai để bảo vệ dữ liệu người dùng?

Ultralytics áp dụng chiến lược bảo mật toàn diện để bảo vệ dữ liệu và hệ thống người dùng. Các biện pháp chính bao gồm:

  • Quét bằng Snyk: Thực hiện quét bảo mật để phát hiện lỗ hổng trong mã nguồn và Dockerfiles.
  • GitHub CodeQL: Phân tích ngữ nghĩa mã nguồn để phát hiện các lỗ hổng phức tạp như SQL injection.
  • Dependabot Alerts: Giám sát các phần phụ thuộc để tìm các lỗ hổng đã biết và gửi cảnh báo để khắc phục nhanh chóng.
  • Secret Scanning: Phát hiện dữ liệu nhạy cảm như thông tin đăng nhập hoặc khóa cá nhân trong các kho lưu trữ mã nguồn để ngăn chặn rò rỉ dữ liệu.
  • Báo cáo lỗ hổng bảo mật riêng tư: Cung cấp kênh bảo mật để người dùng báo cáo các vấn đề bảo mật tiềm ẩn một cách kín đáo.

Các công cụ này đảm bảo xác định và giải quyết chủ động các vấn đề bảo mật, tăng cường bảo mật hệ thống tổng thể. Để biết thêm chi tiết, hãy khám phá các phần trên hoặc liên hệ với đội ngũ bảo mật nếu có bất kỳ câu hỏi nào.

Ultralytics sử dụng Snyk để quét bảo mật như thế nào?

Ultralytics sử dụng Snyk để thực hiện các đợt quét bảo mật kỹ lưỡng trên các kho lưu trữ của mình. Snyk vượt xa các kiểm tra phần phụ thuộc cơ bản, kiểm tra mã nguồn và Dockerfiles để tìm các lỗ hổng khác nhau. Bằng cách chủ động xác định và giải quyết các vấn đề bảo mật tiềm ẩn, Snyk giúp đảm bảo rằng các dự án mã nguồn mở của Ultralytics vẫn an toàn và đáng tin cậy.

Để xem huy hiệu Snyk và tìm hiểu thêm về việc triển khai, hãy kiểm tra phần Quét bằng Snyk.

CodeQL là gì và nó tăng cường bảo mật cho Ultralytics như thế nào?

CodeQL là một công cụ phân tích bảo mật được tích hợp vào quy trình làm việc của Ultralytics thông qua GitHub. Nó đi sâu vào codebase để xác định các lỗ hổng phức tạp như SQL injection và Cross-Site Scripting (XSS). CodeQL phân tích cấu trúc ngữ nghĩa của mã nguồn để cung cấp mức độ bảo mật nâng cao, đảm bảo khả năng phát hiện sớm và giảm thiểu các rủi ro tiềm ẩn.

Để biết thêm thông tin về cách sử dụng CodeQL, hãy truy cập phần Quét bằng GitHub CodeQL.

Dependabot giúp duy trì bảo mật mã nguồn của Ultralytics như thế nào?

Dependabot là một công cụ tự động theo dõi và quản lý các phần phụ thuộc để tìm kiếm các lỗ hổng đã biết. Khi Dependabot phát hiện ra lỗ hổng trong một phần phụ thuộc của dự án Ultralytics, nó sẽ gửi cảnh báo, cho phép đội ngũ nhanh chóng giải quyết và giảm thiểu vấn đề. Điều này đảm bảo rằng các phần phụ thuộc luôn an toàn và được cập nhật, giảm thiểu các rủi ro bảo mật tiềm ẩn.

Để biết thêm chi tiết, hãy khám phá phần Cảnh báo từ GitHub Dependabot.

Ultralytics xử lý việc báo cáo lỗ hổng riêng tư như thế nào?

Ultralytics khuyến khích người dùng báo cáo các vấn đề bảo mật tiềm ẩn thông qua các kênh riêng tư. Người dùng có thể báo cáo lỗ hổng một cách kín đáo qua biểu mẫu liên hệ hoặc bằng cách gửi email tới security@ultralytics.com. Điều này đảm bảo việc công bố thông tin có trách nhiệm và cho phép đội ngũ bảo mật điều tra và xử lý các lỗ hổng một cách an toàn và hiệu quả.

Để biết thêm thông tin về việc báo cáo lỗ hổng riêng tư, hãy tham khảo phần Báo cáo lỗ hổng bảo mật riêng tư.