À propos d’EPPlus
EPPlus est une bibliothèque de classes .NET pour lire et écrire des fichiers Excel au format Office Open XML. Elle est distribuée sous forme de paquet NuGet contenant des assemblages signés pour plusieurs frameworks cibles .NET et est destinée à être utilisée comme composant dans des applications développées par le client.
Comment fonctionne EPPlus
EPPlus n’a pas d’exécution propre. C’est une bibliothèque qui est chargée dans le processus d’une application hôte et s’exécute entièrement au sein de ce processus. Cela a les conséquences suivantes pour son profil de sécurité :
- EPPlus ne s’exécute pas dans son propre processus. Il s’exécute comme du code en cours au sein de l’application qui le référence.
- EPPlus ne gère pas sa propre base de données ni son stockage persistant. Tout traitement de fichiers ou de données est effectué au nom de l’application hôte.
- EPPlus ne fait pas d’appels réseau. Toutes les entrées/sorties des fichiers sont locales au processus hôte.
- EPPlus ne dispose ni de mécanisme d’authentification ni d’autorisation. Il n’identifie pas les utilisateurs, ne délivre pas d’identifiants et ne contrôle pas l’accès.
- EPPlus n’a pas d’infrastructure propre — pas de serveurs, pas de services cloud, pas de terminaux hébergés.
- Le test d’intrusion n’a de sens que dans le contexte d’une application hôte, car EPPlus n’expose aucun runtime autonome ni surface réseau. Un test de sécurité significatif se fait au niveau de l’application hôte qui utilise EPPlus.
Ce que cela signifie pour les évaluations de sécurité
De nombreux questionnaires de sécurité standards sont conçus pour les produits SaaS ou les services réseau. Les questions concernant la configuration TLS, la journalisation des accès, le provisionnement utilisateur, le renforcement de l’infrastructure ou la surveillance à l’exécution ne s’appliquent pas à EPPlus, car EPPlus ne fournit aucune de ces surfaces.
Les préoccupations de sécurité qui s’appliquent à EPPlus sont abordées dans d’autres sections de ce site :
- Intégrité des communiqués — voir la signature du code pour vérifier qu’une autorisation n’a pas été altérée.
- Intégrité des dépendances — voir la Liste des Documents Logiciels pour l’inventaire complet des composants de chaque version.
- Vulnérabilités connues — voir Divulgations de vulnérabilités pour les problèmes divulgués et nos évaluations.
Pratiques de développement sécurisées
EPPlus est développée selon un ensemble de pratiques visant à détecter précocement les défauts — y compris ceux liés à la sécurité — :
- Toutes les modifications de code sont effectuées via pull requests et doivent être examinées et approuvées par un autre membre de l’équipe EPPlus avant d’être fusionnées. Ce processus est public et s’effectue dans le dépôt GitHub d’EPPlus.
- Chaque modification passe par des milliers de tests unitaires dans le cadre de notre pipeline CI/CD avant sa sortie.
- Le code source est analysé à chaque poussée par GitHub CodeQL. Voir Analyse du code source pour plus de détails.
- Les dépendances sont continuellement analysées à la recherche de vulnérabilités connues. Voir Balayage des vulnérabilités pour plus de détails.
Limite de responsabilité
Parce que EPPlus s’exécute dans le processus de l’application hôte, la responsabilité de la posture globale de sécurité est partagée. EPPlus Software AB est responsable de ce qui se trouve dans la bibliothèque — la justesse du code, l’intégrité des artefacts publiés et la gestion rapide des vulnérabilités signalées. L’application hôte est responsable de tout ce qui concerne la bibliothèque — l’environnement d’exécution, les utilisateurs qui y accèdent, et les données qui lui sont transmises pour traitement.
Responsabilités d’application hôte
- Décider si un fichier est digne de confiance ou non avant de le transmettre à EPPlus.
- Application des limites de ressources (mémoire, CPU, temps de traitement) au niveau du processus.
- Authentification et autorisation des utilisateurs de l’application hôte.
- Exploitant l’infrastructure sur laquelle l’application hôte fonctionne.
Responsabilités d’EPPlus Software AB
- La justesse et la sécurité du code de la bibliothèque lui-même.
- Gestion des fichiers d’entrée bien formés et mal formés dans les limites documentées.
- Correction rapide des vulnérabilités signalées conformément à notre politique de divulgation des vulnérabilités.
- Maintenir l’intégrité de la chaîne d’approvisionnement grâce à la signature de code et aux SBOM publiés.