Sécurité chez EPPlus Software
EPPlus Software s’engage à faire preuve de transparence et de gestion responsable des vulnérabilités de sécurité. Cette section offre un aperçu de nos pratiques de sécurité, incluant la composition logicielle, l’analyse des vulnérabilités et l’analyse du code source.
Gestion des vulnérabilités
Politique de divulgation des vulnérabilités
Notre politique coordonnée de divulgation des vulnérabilités décrit comment signaler les vulnérabilités de sécurité, à quoi nous attendre et comment nous gérons les signalements. Établi conformément à la loi européenne sur la cyberrésilience.
Divulgations de vulnérabilité
Divulgué publiquement les vulnérabilités d’EPPlus et de ses dépendances. Chaque entrée a été examinée par l’équipe EPPlus et comprend une évaluation avec des actions recommandées.
Analyse des vulnérabilités
EPPlus et ses dépendances sont régulièrement analysés à la recherche de vulnérabilités connues. Les résultats de l’analyse, y compris les références CVE et le statut de la correction, sont publiés pour chaque version prise en charge.
Analyse du code source
Le code source EPPlus est analysé en continu à l’aide de GitHub CodeQL, qui analyse les vulnérabilités de sécurité potentielles et les erreurs de codage à chaque poussée vers nos branches principales.
Informations sur le produit
Profil de sécurité
Ce qu’est EPPlus , comment il fonctionne et de quoi il est responsable. Inclut un profil architectural et des recommandations pour les évaluations de sécurité des clients.
Versions prises en charge
Cycle de vie du support pour chaque version majeure d’EPPlus, y compris les périodes de support actif et de sécurité. Les mises à jour de sécurité sont fournies sans coût supplémentaire pendant la période de support de sécurité. L’éligibilité à un usage commercial nécessite une licence commerciale actuelle ou détenue précédemment couvrant la version majeure.
Intégrité de la chaîne d’approvisionnement
Signature de codes
Chaque publication EPPlus est signée numériquement avec un certificat de signature de code délivré par GlobalSign. Tous les assemblages de tous les frameworks cibles pris en charge — ainsi que le package NuGet lui-même — sont signés dans le cadre de notre pipeline automatisé de libération.
Lettre de documents logicielle (SBOM)
Nous publions une Lettre de Documents Logiciels pour chaque version EPPlus, listant toutes les dépendances tierces avec versions, licences et sommes de contrôle. Les SBOM sont disponibles au format JSON CycloneDX.