Sicherheit bei EPPlus Software
EPPlus Software verpflichtet sich zu Transparenz und verantwortungsvollem Umgang mit Sicherheitslücken. Dieser Abschnitt bietet einen Überblick über unsere Sicherheitspraktiken, einschließlich Softwarezusammenstellung, Schwachstellen-Scannen und Quellcode-Analyse.
Richtlinie zur Offenlegung von Schwachstellen
Unsere koordinierte Richtlinie zur Offenlegung von Sicherheitslücken beschreibt, wie Sicherheitslücken gemeldet werden, was von uns zu erwarten ist und wie wir mit Meldungen umgehen. Gegründet gemäß dem EU-Gesetz zur Cyberresilienz.
Unterstützte Versionen
Der Support-Lebenszyklus für jede EPPlus-Hauptversion, einschließlich aktiver Unterstützung und Sicherheitsphasen. Sicherheitsupdates werden während der Sicherheitsunterstützungsphase kostenlos bereitgestellt.
Software-Materialliste (SBOM)
Wir veröffentlichen für jede EPPlus-Veröffentlichung eine Software Bill of Materials, in der alle Drittanbieter-Abhängigkeiten mit Versionen, Lizenzen und Prüfsummen aufgelistet sind. SBOMs sind im CycloneDX-JSON-Format erhältlich.
Offenlegungen der Schwachstellen
Öffentlich offengelegte Schwachstellen in EPPlus und seinen Abhängigkeiten. Jeder Eintrag wurde vom EPPlus-Team überprüft und enthält eine Bewertung mit empfohlenen Maßnahmen.
Schwachstellen-Scanning
EPPlus und seine Abhängigkeiten werden regelmäßig auf bekannte Schwachstellen überprüft. Scanergebnisse, einschließlich CVE-Referenzen und Sanierungsstatus, werden für jede unterstützte Version veröffentlicht.
Quellcode-Scannen
Der EPPlus-Quellcode wird kontinuierlich mit GitHub CodeQL analysiert, das bei jedem Push zu unseren Hauptfilialen nach potenziellen Sicherheitslücken und Programmierfehlern sucht.
