Sicurezza presso EPPlus Software
EPPlus Software è impegnato nella trasparenza e nella gestione responsabile delle vulnerabilità di sicurezza. Questa sezione offre una panoramica delle nostre pratiche di sicurezza, inclusa la composizione del software, la scansione delle vulnerabilità e l'analisi del codice sorgente.
Gestione delle vulnerabilità
Politica di Divulgazione delle Vulnerabilità
La nostra politica coordinata di divulgazione delle vulnerabilità descrive come segnalare le vulnerabilità di sicurezza, cosa aspettarci da noi e come gestiamo i report. Istituito in conformità con la Legge UE sulla Cyber Resilienza.
Divulgazioni sulle vulnerabilità
Vulnerabilità divulgate pubblicamente in EPPlus e nelle sue dipendenze. Ogni voce è stata esaminata dal team EPPlus e include una valutazione con le azioni raccomandate.
Scansione delle vulnerabilità
EPPlus e le sue dipendenze vengono regolarmente analizzati alla ricerca di vulnerabilità note. I risultati della scansione, inclusi i riferimenti CVE e lo stato della bonifica, vengono pubblicati per ogni versione supportata.
Scansione del codice sorgente
Il codice sorgente di EPPlus viene analizzato continuamente utilizzando GitHub CodeQL, che analizza potenziali vulnerabilità di sicurezza ed errori di codice ad ogni push verso i nostri rami principali.
Informazioni sul prodotto
Profilo di sicurezza
Cosa EPPlus , come funziona e di cosa è responsabile. Include profilo architettonico e linee guida per le valutazioni della sicurezza dei clienti.
Versioni supportate
Ciclo di vita del supporto per ogni versione maggiore di EPPlus, inclusi i periodi di supporto attivo e di supporto di sicurezza. Gli aggiornamenti di sicurezza sono forniti senza costi aggiuntivi durante il periodo di supporto di sicurezza. L'idoneità all'uso commerciale richiede una licenza commerciale attuale o precedentemente detenuta che copra la versione principale.
Integrità della catena di approvvigionamento
Firma del Codice
Ogni release EPPlus è firmata digitalmente con un certificato di firma del codice rilasciato da GlobalSign. Tutti gli assembly su tutti i framework target supportati — così come il pacchetto NuGet stesso — sono firmati come parte della nostra pipeline di rilascio automatica.
Documenti di Materiale Software (SBOM)
Pubblichiamo una Carta dei Materiali Software per ogni release EPPlus, elencando tutte le dipendenze di terze parti con versioni, licenze e checksum. Gli SBOM sono disponibili in formato JSON CycloneDX.