Sécurité chez EPPlus Software
EPPlus Software s’engage à faire preuve de transparence et de gestion responsable des vulnérabilités de sécurité. Cette section offre un aperçu de nos pratiques de sécurité, incluant la composition logicielle, l’analyse des vulnérabilités et l’analyse du code source.
Politique de divulgation des vulnérabilités
Notre politique coordonnée de divulgation des vulnérabilités décrit comment signaler les vulnérabilités de sécurité, à quoi nous attendre et comment nous gérons les signalements. Établi conformément à la loi européenne sur la cyberrésilience.
Versions prises en charge
Cycle de vie du support pour chaque version majeure d’EPPlus, y compris les périodes de support actif et de sécurité. Les mises à jour de sécurité sont fournies gratuitement pendant la période de support de sécurité.
Lettre de documents logicielle (SBOM)
Nous publions une Lettre de Documents Logiciels pour chaque version EPPlus, listant toutes les dépendances tierces avec versions, licences et sommes de contrôle. Les SBOM sont disponibles au format JSON CycloneDX.
Divulgations de vulnérabilité
Divulgué publiquement les vulnérabilités d’EPPlus et de ses dépendances. Chaque entrée a été examinée par l’équipe EPPlus et comprend une évaluation avec des actions recommandées.
Analyse des vulnérabilités
EPPlus et ses dépendances sont régulièrement analysés à la recherche de vulnérabilités connues. Les résultats de l’analyse, y compris les références CVE et le statut de la correction, sont publiés pour chaque version prise en charge.
Analyse du code source
Le code source EPPlus est analysé en continu à l’aide de GitHub CodeQL, qui analyse les vulnérabilités de sécurité potentielles et les erreurs de codage à chaque poussée vers nos branches principales.
