Bỏ để qua phần nội dung

Ultralytics Chính sách bảo mật

Tại Ultralytics, bảo mật dữ liệu và hệ thống của người dùng là vô cùng quan trọng. Để đảm bảo an toàn và bảo mật cho các dự án nguồn mở của chúng tôi, chúng tôi đã thực hiện một số biện pháp để phát hiện và ngăn chặn các lỗ hổng bảo mật.

Quét Snyk

Chúng tôi sử dụng Snyk để tiến hành quét bảo mật toàn diện trên Ultralytics Kho. Khả năng quét mạnh mẽ của Snyk vượt ra ngoài kiểm tra sự phụ thuộc; nó cũng kiểm tra mã và Dockerfiles của chúng tôi để tìm các lỗ hổng khác nhau. Bằng cách chủ động xác định và giải quyết những vấn đề này, chúng tôi đảm bảo mức độ bảo mật và độ tin cậy cao hơn cho người dùng.

ultralytics

Quét GitHub CodeQL

Chiến lược bảo mật của chúng tôi bao gồm quét CodeQL của GitHub. CodeQL đào sâu vào cơ sở mã của chúng tôi, xác định các lỗ hổng phức tạp như SQL injection và XSS bằng cách phân tích cấu trúc ngữ nghĩa của mã. Mức độ phân tích tiên tiến này đảm bảo phát hiện sớm và giải quyết các rủi ro bảo mật tiềm ẩn.

Mã QL

Cảnh báo GitHub Dependabot

Dependabot được tích hợp vào quy trình làm việc của chúng tôi để giám sát các phụ thuộc cho các lỗ hổng đã biết. Khi một lỗ hổng được xác định trong một trong các phụ thuộc của chúng tôi, Dependabot sẽ cảnh báo chúng tôi, cho phép các hành động khắc phục nhanh chóng và sáng suốt.

Cảnh báo quét bí mật GitHub

Chúng tôi sử dụng cảnh báo quét bí mật GitHub để phát hiện dữ liệu nhạy cảm, chẳng hạn như thông tin đăng nhập và khóa riêng tư, vô tình bị đẩy vào kho lưu trữ của chúng tôi. Cơ chế phát hiện sớm này giúp ngăn chặn các vi phạm bảo mật tiềm ẩn và phơi bày dữ liệu.

Báo cáo lỗ hổng bảo mật riêng tư

Chúng tôi cho phép báo cáo lỗ hổng bảo mật riêng tư, cho phép người dùng báo cáo kín đáo các vấn đề bảo mật tiềm ẩn. Cách tiếp cận này tạo điều kiện tiết lộ có trách nhiệm, đảm bảo các lỗ hổng được xử lý an toàn và hiệu quả.

Nếu bạn nghi ngờ hoặc phát hiện ra lỗ hổng bảo mật trong bất kỳ kho lưu trữ nào của chúng tôi, vui lòng cho chúng tôi biết ngay lập tức. Bạn có thể liên hệ trực tiếp với chúng tôi qua biểu mẫu liên hệ của chúng tôi hoặc qua an ninh@ultralytics.com. Đội ngũ bảo mật của chúng tôi sẽ điều tra và phản hồi sớm nhất có thể.

Chúng tôi đánh giá cao sự giúp đỡ của bạn trong việc giữ tất cả Ultralytics Các dự án mã nguồn mở bảo mật và an toàn cho mọi người 🙏.

FAQ

Các biện pháp an ninh được thực hiện bởi Ultralytics Để bảo vệ dữ liệu người dùng?

Ultralytics Sử dụng một chiến lược bảo mật toàn diện để bảo vệ dữ liệu và hệ thống người dùng. Các biện pháp chính bao gồm:

  • Snyk Scanning: Tiến hành quét bảo mật để phát hiện các lỗ hổng trong mã và Dockerfiles.
  • GitHub CodeQL: Phân tích ngữ nghĩa mã để phát hiện các lỗ hổng phức tạp như SQL injection.
  • Cảnh báo Dependabot: Giám sát các yếu tố phụ thuộc đối với các lỗ hổng đã biết và gửi cảnh báo để khắc phục nhanh chóng.
  • Quét bí mật: Phát hiện dữ liệu nhạy cảm như thông tin đăng nhập hoặc khóa riêng tư trong kho lưu trữ mã để ngăn chặn vi phạm dữ liệu.
  • Báo cáo lỗ hổng bảo mật riêng tư: Cung cấp một kênh an toàn để người dùng báo cáo các vấn đề bảo mật tiềm ẩn một cách kín đáo.

Những công cụ này đảm bảo chủ động xác định và giải quyết các vấn đề bảo mật, tăng cường bảo mật hệ thống tổng thể. Để biết thêm chi tiết, hãy truy cập tài liệu xuất khẩu của chúng tôi.

Làm thế nào Ultralytics sử dụng Snyk để quét bảo mật?

Ultralytics sử dụng Snyk để tiến hành quét bảo mật kỹ lưỡng trên các kho lưu trữ của nó. Snyk mở rộng ra ngoài việc kiểm tra phụ thuộc cơ bản, kiểm tra mã và Dockerfiles để tìm các lỗ hổng khác nhau. Bằng cách chủ động xác định và giải quyết các vấn đề bảo mật tiềm ẩn, Snyk giúp đảm bảo rằng Ultralytics'Các dự án nguồn mở vẫn an toàn và đáng tin cậy.

Để xem huy hiệu Snyk và tìm hiểu thêm về cách triển khai, hãy kiểm tra phần Quét Snyk.

CodeQL là gì và nó tăng cường bảo mật cho như thế nào Ultralytics?

CodeQL là một công cụ phân tích bảo mật được tích hợp vào Ultralytics' quy trình làm việc thông qua GitHub. Nó đào sâu vào cơ sở mã để xác định các lỗ hổng phức tạp như SQL injection và Cross-Site Scripting (XSS). CodeQL phân tích cấu trúc ngữ nghĩa của mã để cung cấp mức độ bảo mật nâng cao, đảm bảo phát hiện sớm và giảm thiểu rủi ro tiềm ẩn.

Để biết thêm thông tin về cách CodeQL được sử dụng, hãy truy cập phần Quét GitHub CodeQL.

Dependabot giúp duy trì như thế nào Ultralytics'Bảo mật mã?

Dependabot là một công cụ tự động giám sát và quản lý các phụ thuộc cho các lỗ hổng đã biết. Khi Dependabot phát hiện lỗ hổng trong một Ultralytics Sự phụ thuộc của dự án, nó sẽ gửi một cảnh báo, cho phép nhóm nhanh chóng giải quyết và giảm thiểu vấn đề. Điều này đảm bảo rằng các thành phần phụ thuộc được giữ an toàn và cập nhật, giảm thiểu rủi ro bảo mật tiềm ẩn.

Để biết thêm chi tiết, hãy khám phá phần Cảnh báo GitHub Dependabot.

Làm thế nào Ultralytics Xử lý báo cáo lỗ hổng bảo mật?

Ultralytics khuyến khích người dùng báo cáo các vấn đề bảo mật tiềm ẩn thông qua các kênh riêng tư. Người dùng có thể báo cáo lỗ hổng một cách kín đáo thông qua biểu mẫu liên hệ hoặc bằng cách gửi email an ninh@ultralytics.com. Điều này đảm bảo tiết lộ có trách nhiệm và cho phép nhóm bảo mật điều tra và giải quyết các lỗ hổng một cách an toàn và hiệu quả.

Để biết thêm thông tin về báo cáo lỗ hổng bảo mật riêng tư, hãy tham khảo phần Báo cáo lỗ hổng bảo mật riêng tư.



Đã tạo 2023-11-12, Cập nhật 2024-07-04
Tác giả: glenn-jocher (3)