Ultralytics Chính sách bảo mật
Tại Ultralytics , bảo mật dữ liệu và hệ thống của người dùng là vô cùng quan trọng. Để đảm bảo an toàn và bảo mật cho các dự án nguồn mở của mình, chúng tôi đã triển khai một số biện pháp để phát hiện và ngăn chặn các lỗ hổng bảo mật.
Quét Snyk
Chúng tôi sử dụng Snyk để tiến hành quét bảo mật toàn diện trên Ultralytics kho lưu trữ. Khả năng quét mạnh mẽ của Snyk vượt xa các kiểm tra phụ thuộc; nó cũng kiểm tra mã và Dockerfiles của chúng tôi để tìm nhiều lỗ hổng khác nhau. Bằng cách xác định và giải quyết các vấn đề này một cách chủ động, chúng tôi đảm bảo mức độ bảo mật và độ tin cậy cao hơn cho người dùng của mình.
Quét GitHub CodeQL
Chiến lược bảo mật của chúng tôi bao gồm quét CodeQL của GitHub. CodeQL đào sâu vào cơ sở mã của chúng tôi, xác định các lỗ hổng phức tạp như SQL injection và XSS bằng cách phân tích cấu trúc ngữ nghĩa của mã. Mức độ phân tích nâng cao này đảm bảo phát hiện sớm và giải quyết các rủi ro bảo mật tiềm ẩn.
Cảnh báo GitHub Dependabot
Dependabot được tích hợp vào quy trình làm việc của chúng tôi để theo dõi các phụ thuộc để tìm ra các lỗ hổng đã biết. Khi phát hiện ra lỗ hổng trong một trong các phụ thuộc của chúng tôi, Dependabot sẽ cảnh báo chúng tôi, cho phép thực hiện các hành động khắc phục nhanh chóng và sáng suốt.
Cảnh báo quét bí mật GitHub
Chúng tôi sử dụng cảnh báo quét bí mật GitHub để phát hiện dữ liệu nhạy cảm, chẳng hạn như thông tin đăng nhập và khóa riêng, vô tình được đẩy vào kho lưu trữ của chúng tôi. Cơ chế phát hiện sớm này giúp ngăn ngừa các vi phạm bảo mật tiềm ẩn và rò rỉ dữ liệu.
Báo cáo lỗ hổng riêng tư
Chúng tôi cho phép báo cáo lỗ hổng riêng tư, cho phép người dùng báo cáo các vấn đề bảo mật tiềm ẩn một cách kín đáo. Cách tiếp cận này tạo điều kiện cho việc tiết lộ có trách nhiệm, đảm bảo các lỗ hổng được xử lý an toàn và hiệu quả.
Nếu bạn nghi ngờ hoặc phát hiện ra lỗ hổng bảo mật trong bất kỳ kho lưu trữ nào của chúng tôi, vui lòng cho chúng tôi biết ngay lập tức. Bạn có thể liên hệ trực tiếp với chúng tôi qua biểu mẫu liên hệ hoặc qua security@ ultralytics .com . Nhóm bảo mật của chúng tôi sẽ điều tra và phản hồi sớm nhất có thể.
Chúng tôi đánh giá cao sự giúp đỡ của bạn trong việc giữ tất cả Ultralytics các dự án nguồn mở an toàn và bảo mật cho mọi người 🙏.
CÂU HỎI THƯỜNG GẶP
Các biện pháp an ninh được thực hiện bởi là gì? Ultralytics để bảo vệ dữ liệu người dùng?
Ultralytics sử dụng chiến lược bảo mật toàn diện để bảo vệ dữ liệu và hệ thống của người dùng. Các biện pháp chính bao gồm:
- Snyk Scanning : Thực hiện quét bảo mật để phát hiện lỗ hổng trong mã và Dockerfile.
- GitHub CodeQL : Phân tích ngữ nghĩa mã để phát hiện các lỗ hổng phức tạp như lỗi SQL injection.
- Cảnh báo Dependabot : Giám sát các mối phụ thuộc để tìm ra lỗ hổng đã biết và gửi cảnh báo để khắc phục nhanh chóng.
- Quét bí mật : Phát hiện dữ liệu nhạy cảm như thông tin đăng nhập hoặc khóa riêng trong kho lưu trữ mã để ngăn chặn vi phạm dữ liệu.
- Báo cáo lỗ hổng bảo mật riêng tư : Cung cấp kênh an toàn cho người dùng báo cáo các vấn đề bảo mật tiềm ẩn một cách kín đáo.
Các công cụ này đảm bảo nhận dạng và giải quyết chủ động các vấn đề bảo mật, tăng cường bảo mật hệ thống tổng thể. Để biết thêm chi tiết, hãy truy cập tài liệu xuất khẩu của chúng tôi.
Làm thế nào Ultralytics sử dụng Snyk để quét bảo mật?
Ultralytics sử dụng Snyk để thực hiện quét bảo mật toàn diện trên các kho lưu trữ của mình. Snyk mở rộng ra ngoài các kiểm tra phụ thuộc cơ bản, kiểm tra mã và Dockerfiles để tìm các lỗ hổng khác nhau. Bằng cách chủ động xác định và giải quyết các vấn đề bảo mật tiềm ẩn, Snyk giúp đảm bảo rằng Ultralytics 'các dự án nguồn mở vẫn an toàn và đáng tin cậy.
Để xem huy hiệu Snyk và tìm hiểu thêm về việc triển khai huy hiệu này, hãy kiểm tra phần Quét Snyk .
CodeQL là gì và nó tăng cường bảo mật như thế nào cho Ultralytics ?
CodeQL là một công cụ phân tích bảo mật được tích hợp vào Ultralytics ' quy trình làm việc thông qua GitHub. Nó đào sâu vào cơ sở mã để xác định các lỗ hổng phức tạp như SQL injection và Cross-Site Scripting (XSS). CodeQL phân tích cấu trúc ngữ nghĩa của mã để cung cấp mức độ bảo mật nâng cao, đảm bảo phát hiện sớm và giảm thiểu các rủi ro tiềm ẩn.
Để biết thêm thông tin về cách sử dụng CodeQL, hãy truy cập phần Quét CodeQL của GitHub .
Dependabot giúp duy trì như thế nào Ultralytics 'bảo mật mã?
Dependabot là một công cụ tự động giám sát và quản lý các phụ thuộc đối với các lỗ hổng đã biết. Khi Dependabot phát hiện ra lỗ hổng trong Ultralytics phụ thuộc vào dự án, nó sẽ gửi cảnh báo, cho phép nhóm nhanh chóng giải quyết và giảm thiểu sự cố. Điều này đảm bảo rằng các phụ thuộc được giữ an toàn và cập nhật, giảm thiểu rủi ro bảo mật tiềm ẩn.
Để biết thêm chi tiết, hãy khám phá phần Cảnh báo GitHub Dependabot .
Làm thế nào Ultralytics xử lý báo cáo lỗ hổng bảo mật riêng tư?
Ultralytics khuyến khích người dùng báo cáo các vấn đề bảo mật tiềm ẩn thông qua các kênh riêng tư. Người dùng có thể báo cáo các lỗ hổng một cách kín đáo thông qua biểu mẫu liên hệ hoặc bằng cách gửi email đến security@ ultralytics .com . Điều này đảm bảo việc tiết lộ có trách nhiệm và cho phép nhóm bảo mật điều tra và giải quyết các lỗ hổng một cách an toàn và hiệu quả.
Để biết thêm thông tin về báo cáo lỗ hổng bảo mật riêng tư, hãy tham khảo phần Báo cáo lỗ hổng bảo mật riêng tư .
