EPPlus Softwareのセキュリティ
EPPlus Softwareは、セキュリティ脆弱性の透明性と責任ある対応にコミットしています。このセクションでは、ソフトウェア構成、脆弱性スキャン、ソースコード解析など、当社のセキュリティ実践の概要を提供します。
脆弱性管理
脆弱性開示方針
当社の調整された脆弱性開示ポリシーには、セキュリティ脆弱性の報告方法、当社からの期待事項、報告の取り扱いについて説明しています。EUサイバーレジリエンス法に基づき設立されました。
脆弱性開示
EPPlusおよびその依存関係における脆弱性を公に開示しました。各エントリーはEPPlusチームによって審査され、推奨された行動を含む評価が含まれています。
脆弱性スキャン
EPPlusおよびその依存関係は、既知の脆弱性がないか定期的にスキャンされています。CVE参照や修復状況を含むスキャン結果は、各サポートされているバージョンごとに公開されます。
ソースコードスキャン
EPPlusのソースコードはGitHub CodeQLを使って継続的に分析されており、メインブランチへのすべてのプッシュで潜在的なセキュリティ脆弱性やコーディングエラーをスキャンします。
製品情報
セキュリティプロファイル
EPPlusとは何か、どのように動作し、何を担当しているのか。アーキテクチャプロファイルと顧客のセキュリティ評価に関するガイダンスを含みます。
対応バージョン
各EPPlusメジャーバージョンのサポートライフサイクル(アクティブサポートおよびセキュリティサポート期間を含む)。セキュリティサポート期間中は追加費用なしでセキュリティアップデートが提供されます。商用利用の資格には、メジャーバージョンをカバーする現行または以前に保有している商用ライセンスが必要です。
サプライチェーンの健全性
コード署名
すべてのEPPlusリリースは、GlobalSignによって発行されたコード署名証明書でデジタル署名されています。すべてのサポート対象フレームワークのアセンブリおよびNuGetパッケージ自体は、自動化リリースパイプラインの一部として署名されています。
ソフトウェア資材表(SBOM)
EPPlusのリリースごとにソフトウェア製品明細を発行しており、すべてのサードパーティ依存関係をバージョン、ライセンス、チェックサムとともに一覧化しています。SBOMはCycloneDX JSON形式で利用可能です。