Seguridad en EPPlus Software
EPPlus Software está comprometido con la transparencia y el manejo responsable de vulnerabilidades de seguridad. Esta sección ofrece una visión general de nuestras prácticas de seguridad, incluyendo la composición de software, el escaneo de vulnerabilidades y el análisis del código fuente.
Gestión de vulnerabilidades
Política de Divulgación de Vulnerabilidades
Nuestra política coordinada de divulgación de vulnerabilidades describe cómo informar de vulnerabilidades de seguridad, qué esperar de nosotros y cómo gestionamos los informes. Establecido de acuerdo con la Ley de Ciberresiliencia de la UE.
Divulgaciones de vulnerabilidades
Vulnerabilidades divulgadas públicamente en EPPlus y sus dependencias. Cada entrada ha sido revisada por el equipo de EPPlus e incluye una evaluación con acciones recomendadas.
Escaneo de vulnerabilidades
EPPlus y sus dependencias se analizan regularmente en busca de vulnerabilidades conocidas. Los resultados del escaneo, incluyendo referencias CVE y estado de remediación, se publican para cada versión soportada.
Escaneo de código fuente
El código fuente de EPPlus se analiza continuamente usando GitHub CodeQL, que escanea posibles vulnerabilidades de seguridad y errores de código en cada envío a nuestras ramas principales.
Información del producto
Perfil de seguridad
Cuál es EPPlus , cómo funciona y de qué es responsable. Incluye perfil arquitectónico y orientación para evaluaciones de seguridad de los clientes.
Versiones compatibles
Ciclo de vida del soporte para cada versión principal de EPPlus, incluyendo los periodos de soporte activo y de seguridad. Las actualizaciones de seguridad se proporcionan sin coste adicional durante el periodo de soporte de seguridad. La elegibilidad para uso comercial requiere una licencia comercial actual o previamente poseída que cubra la versión principal.
Integridad de la cadena de suministro
Firma de códigos
Cada lanzamiento de EPPlus está firmado digitalmente con un certificado de firma de código emitido por GlobalSign. Todos los ensambladores en todos los frameworks de destino soportados —así como el propio paquete NuGet— están firmados como parte de nuestra pipeline automatizada de lanzamientos.
Lista de Materiales de Software (SBOM)
Publicamos una Lista de Materiales de Software para cada versión de EPPlus, que enumera todas las dependencias de terceros con versiones, licencias y sumas de comprobación. Los SBOM están disponibles en formato JSON CycloneDX.