EPPlus 소프트웨어의 보안

EPPlus 소프트웨어는 보안 취약점에 대한 투명성과 책임 있는 대응에 전념하고 있습니다. 이 섹션에서는 소프트웨어 구성, 취약점 스캔, 소스 코드 분석을 포함한 보안 관행에 대한 개요를 제공합니다.

우리의 통합 취약점 공개 정책은 보안 취약점을 보고하는 방법, 기대할 수 있는 사항, 그리고 보고 처리 방식을 설명합니다. EU 사이버 회복력법에 따라 설립되었습니다.

EPPlus 및 그 의존 요소의 취약점을 공개적으로 공개했습니다. 각 항목은 EPPlus 팀에 의해 검토되었으며, 권고된 조치가 포함된 평가가 포함되어 있습니다.

EPPlus와 그 의존성은 알려진 취약점이 있는지 정기적으로 검사됩니다. CVE 참조 및 복구 상태를 포함한 스캔 결과가 각 지원되는 버전별로 공개됩니다.

EPPlus 소스 코드는 GitHub CodeQL을 통해 지속적으로 분석되며, 메인 브랜치로 모든 푸시에서 잠재적 보안 취약점과 코딩 오류를 스캔합니다.

EPPlus가 무엇인지, 어떻게 작동하는지, 그리고 어떤 책임을 지는지 말입니다. 고객 보안 평가를 위한 아키텍처 프로필과 지침을 포함합니다.

각 EPPlus 주요 버전별 지원 수명 주기, 활성 지원 및 보안 지원 기간을 포함합니다. 보안 업데이트 기간에는 추가 비용 없이 제공됩니다. 상업적 사용 자격은 주요 버전을 포함하는 현재 또는 이전에 보유한 상업용 라이선스가 필요합니다.

모든 EPPlus 릴리스는 GlobalSign에서 발급한 코드 서명 인증서로 디지털 서명됩니다. 지원되는 모든 대상 프레임워크의 어셈블리와 NuGet 패키지 자체는 자동화된 릴리스 파이프라인의 일부로 서명됩니다.

우리는 EPPlus 릴리스마다 모든 서드파티 의존성을 버전, 라이선스, 체크섬과 함께 나열하는 소프트웨어 자재 명세서를 발행합니다. SBOM은 CycloneDX JSON 형식으로 제공됩니다.