Acerca de EPPlus
EPPlus es una biblioteca de clases .NET para leer y escribir archivos de hojas de cálculo Excel en formato Office Open XML. Se distribuye como un paquete NuGet que contiene ensamblajes firmados para múltiples frameworks .NET destino y está destinada a usarse como componente dentro de aplicaciones desarrolladas por clientes.
Cómo funciona EPPlus
EPPlus no tiene un tiempo de ejecución propio. Es una biblioteca que se carga en el proceso de una aplicación anfitriona y se ejecuta íntegramente dentro de ese proceso. Esto tiene las siguientes consecuencias para su perfil de seguridad:
- EPPlus no se ejecuta en un proceso propio. Se ejecuta como código en proceso dentro de la aplicación que lo referencia.
- EPPlus no gestiona su propia base de datos ni almacenamiento persistente. Cualquier manejo de archivos o datos se realiza en nombre de la aplicación anfitriona.
- EPPlus no realiza llamadas de red. Todas las E/S de archivo son locales al proceso del host.
- EPPlus no tiene mecanismo de autenticación ni autorización. No identifica usuarios, no emite credenciales ni controla el acceso.
- EPPlus no tiene infraestructura propia — ni servidores, ni servicios en la nube, ni endpoints alojados.
- Las pruebas de penetración solo tienen sentido en el contexto de una aplicación anfitriona, porque EPPlus no exponen tiempo de ejecución independiente ni superficie de red. Las pruebas de seguridad significativas se realizan a nivel de la aplicación anfitriona que utiliza EPPlus.
Qué significa esto para las evaluaciones de seguridad
Muchos cuestionarios de seguridad estándar están diseñados para productos SaaS o servicios de red. Las preguntas sobre configuración TLS, registro de accesos, provisión de usuarios, endurecimiento de infraestructura o monitorización en tiempo de ejecución no se aplican a EPPlus, porque EPPlus no proporciona ninguna de esas superficies.
Las preocupaciones de seguridad que sí se aplican a EPPlus se abordan en otras secciones de este sitio:
- Integridad de la liberación — consulte Firma de Código para verificar que una liberación no ha sido manipulada.
- Integridad de dependencias — consulta la lista de materiales de software para el inventario completo de componentes de cada versión.
- Vulnerabilidades conocidas — véase Divulgaciones de vulnerabilidades para los problemas divulgados y nuestras evaluaciones.
Prácticas de desarrollo seguras
EPPlus se desarrolla bajo un conjunto de prácticas destinadas a detectar defectos — incluidos los defectos relevantes para la seguridad — a tiempo:
- Todos los cambios de código se realizan mediante pull requests y deben ser revisados y aprobados por otro miembro del equipo de EPPlus antes de ser fusionados. Este proceso es público y se realiza en el repositorio de GitHub de EPPlus.
- Cada cambio pasa por miles de pruebas unitarias como parte de nuestra cadena CI/CD antes del lanzamiento.
- El código fuente se analiza en cada impulso por GitHub CodeQL. Consulta Escaneo del código fuente para más detalles.
- Las dependencias se analizan continuamente en busca de vulnerabilidades conocidas. Consulta Escaneo de vulnerabilidades para más detalles.
Límite de responsabilidad
Como EPPlus se ejecuta dentro del proceso de la aplicación anfitriona, la responsabilidad de la postura general de seguridad se comparte. EPPlus Software AB es responsable de lo que hay dentro de la biblioteca: la corrección del código, la integridad de los artefactos liberados y el manejo oportuno de las vulnerabilidades reportadas. La aplicación anfitriona es responsable de todo lo relacionado con la biblioteca: el entorno de ejecución, los usuarios que acceden a ella y los datos que se le pasan para su procesamiento.
Responsabilidades de la aplicación del host
- Decidir si un archivo es confiable o no antes de pasarlo a EPPlus.
- Aplicar límites de recursos (memoria, CPU, tiempo de procesamiento) a nivel de proceso.
- Autenticación y autorización de usuarios de la aplicación anfitriona.
- Operar la infraestructura sobre la que se ejecuta la aplicación anfitriona.
Responsabilidades AB de EPPlus Software
- La corrección y seguridad del propio código de la biblioteca.
- Manejo de archivos de entrada bien formados y malformados dentro de límites documentados.
- Remediación oportuna de vulnerabilidades reportadas de acuerdo con nuestra Política de Divulgación de Vulnerabilidades.
- Mantener la integridad de la cadena de suministro mediante la firma de códigos y SBOMs publicados.