Ir para o conteúdo

Política de Segurança da Ultralytics

Na Ultralytics, a segurança dos dados e sistemas dos nossos usuários é da maior importância. Para garantir a segurança dos nossos projetos de código aberto, implementamos diversas medidas para detectar e prevenir vulnerabilidades de segurança.

Snyk Scanning

Utilizamos o Snyk para realizar verificações de segurança abrangentes nos repositórios Ultralytics. As robustas capacidades de verificação do Snyk vão além das verificações de dependência; ele também examina nosso código e Dockerfiles em busca de várias vulnerabilidades. Ao identificar e resolver esses problemas proativamente, garantimos um nível mais alto de segurança e confiabilidade para nossos usuários.

ultralytics

Verificação do GitHub CodeQL

Nossa estratégia de segurança inclui a varredura CodeQL do GitHub. O CodeQL investiga profundamente nossa base de código, identificando vulnerabilidades complexas, como injeção de SQL e XSS, analisando a estrutura semântica do código. Este nível avançado de análise garante a detecção precoce e a resolução de potenciais riscos de segurança.

CodeQL

Alertas do GitHub Dependabot

Dependabot está integrado ao nosso fluxo de trabalho para monitorar dependências em busca de vulnerabilidades conhecidas. Quando uma vulnerabilidade é identificada em uma de nossas dependências, o Dependabot nos alerta, permitindo ações de correção rápidas e informadas.

Alertas de Verificação Secreta do GitHub

Empregamos alertas de verificação de segredos do GitHub para detectar dados confidenciais, como credenciais e chaves privadas, enviados acidentalmente para nossos repositórios. Este mecanismo de detecção precoce ajuda a prevenir potenciais violações de segurança e exposições de dados.

Relatório de Vulnerabilidade Privada

Habilitamos o relatório privado de vulnerabilidades, permitindo que os usuários relatem discretamente potenciais problemas de segurança. Esta abordagem facilita a divulgação responsável, garantindo que as vulnerabilidades sejam tratadas de forma segura e eficiente.

Se você suspeitar ou descobrir uma vulnerabilidade de segurança em qualquer um de nossos repositórios, por favor, nos avise imediatamente. Você pode entrar em contato conosco diretamente através do nosso formulário de contato ou via security@ultralytics.com. Nossa equipe de segurança investigará e responderá o mais rápido possível.

Agradecemos a sua ajuda para manter todos os projetos de código aberto da Ultralytics seguros para todos 🙏.

FAQ

Quais são as medidas de segurança implementadas pela Ultralytics para proteger os dados do usuário?

A Ultralytics emprega uma estratégia de segurança abrangente para proteger os dados e sistemas dos usuários. As principais medidas incluem:

  • Snyk Scanning: Realiza verificações de segurança para detectar vulnerabilidades no código e nos Dockerfiles.
  • GitHub CodeQL: Analisa a semântica do código para detectar vulnerabilidades complexas, como injeção de SQL.
  • Alertas do Dependabot: Monitora dependências em busca de vulnerabilidades conhecidas e envia alertas para correção rápida.
  • Verificação de Segredos: Deteta dados confidenciais, como credenciais ou chaves privadas, em repositórios de código para evitar violações de dados.
  • Relato Privado de Vulnerabilidades: Oferece um canal seguro para os usuários relatarem possíveis problemas de segurança discretamente.

Essas ferramentas garantem a identificação e resolução proativas de problemas de segurança, aumentando a segurança geral do sistema. Para mais detalhes, visite nossa documentação de exportação.

Como a Ultralytics usa o Snyk para verificação de segurança?

A Ultralytics utiliza o Snyk para realizar verificações de segurança completas em seus repositórios. O Snyk vai além das verificações básicas de dependência, examinando o código e os Dockerfiles em busca de várias vulnerabilidades. Ao identificar e resolver proativamente possíveis problemas de segurança, o Snyk ajuda a garantir que os projetos de código aberto da Ultralytics permaneçam seguros e confiáveis.

Para ver o badge do Snyk e saber mais sobre sua implantação, consulte a seção de Verificação do Snyk.

O que é CodeQL e como ele melhora a segurança para Ultralytics?

CodeQL é uma ferramenta de análise de segurança integrada ao fluxo de trabalho da Ultralytics via GitHub. Ele investiga profundamente a base de código para identificar vulnerabilidades complexas, como injeção de SQL e Cross-Site Scripting (XSS). O CodeQL analisa a estrutura semântica do código para fornecer um nível avançado de segurança, garantindo a detecção precoce e a mitigação de potenciais riscos.

Para obter mais informações sobre como o CodeQL é usado, visite a seção GitHub CodeQL Scanning.

Como o Dependabot ajuda a manter a segurança do código da Ultralytics?

Dependabot é uma ferramenta automatizada que monitora e gerencia dependências em busca de vulnerabilidades conhecidas. Quando o Dependabot detecta uma vulnerabilidade em uma dependência do projeto Ultralytics, ele envia um alerta, permitindo que a equipe resolva e mitigue rapidamente o problema. Isso garante que as dependências sejam mantidas seguras e atualizadas, minimizando potenciais riscos de segurança.

Para mais detalhes, explore a seção Alertas do GitHub Dependabot.

Como a Ultralytics lida com o relato privado de vulnerabilidades?

A Ultralytics incentiva os usuários a reportar possíveis problemas de segurança por meio de canais privados. Os usuários podem reportar vulnerabilidades discretamente através do formulário de contato ou enviando um e-mail para security@ultralytics.com. Isso garante a divulgação responsável e permite que a equipe de segurança investigue e resolva as vulnerabilidades de forma segura e eficiente.

Para obter mais informações sobre o reporte privado de vulnerabilidades, consulte a seção de Reporte Privado de Vulnerabilidades.



📅 Criado há 1 ano ✏️ Atualizado há 7 meses
glenn-jocher UltralyticsAssistant