Sicurezza presso EPPlus Software
EPPlus Software è impegnato nella trasparenza e nella gestione responsabile delle vulnerabilità di sicurezza. Questa sezione offre una panoramica delle nostre pratiche di sicurezza, inclusa la composizione del software, la scansione delle vulnerabilità e l'analisi del codice sorgente.
Politica di Divulgazione delle Vulnerabilità
La nostra politica coordinata di divulgazione delle vulnerabilità descrive come segnalare le vulnerabilità di sicurezza, cosa aspettarci da noi e come gestiamo i report. Istituito in conformità con la Legge UE sulla Cyber Resilienza.
Versioni supportate
Ciclo di vita del supporto per ogni versione principale di EPPlus, inclusi i periodi di supporto attivo e di sicurezza. Gli aggiornamenti di sicurezza sono forniti gratuitamente durante il periodo di supporto di sicurezza.
Documenti di Materiale Software (SBOM)
Pubblichiamo una Carta dei Materiali Software per ogni release EPPlus, elencando tutte le dipendenze di terze parti con versioni, licenze e checksum. Gli SBOM sono disponibili in formato JSON CycloneDX.
Divulgazioni sulle vulnerabilità
Vulnerabilità divulgate pubblicamente in EPPlus e nelle sue dipendenze. Ogni voce è stata esaminata dal team EPPlus e include una valutazione con le azioni raccomandate.
Scansione delle vulnerabilità
EPPlus e le sue dipendenze vengono regolarmente analizzati alla ricerca di vulnerabilità note. I risultati della scansione, inclusi i riferimenti CVE e lo stato della bonifica, vengono pubblicati per ogni versione supportata.
Scansione del codice sorgente
Il codice sorgente di EPPlus viene analizzato continuamente utilizzando GitHub CodeQL, che analizza potenziali vulnerabilità di sicurezza ed errori di codice ad ogni push verso i nostri rami principali.
