EPPlus 소개

EPPlus의 작동 방식

EPPlus 자체 런타임이 없습니다. 호스트 애플리케이션의 프로세스에 로드되어 그 프로세스 내에서 완전히 실행되는 라이브러리입니다. 이로 인해 보안 프로필에 다음과 같은 결과가 나타납니다:

• EPPlus 자체 프로세스에서 실행되지 않습니다. 참조하는 애플리케이션 내에서 프로세스 내 코드로 실행됩니다.
• EPPlus 자체 데이터베이스나 영구 저장소를 관리하지 않습니다. 모든 파일이나 데이터 처리는 호스트 애플리케이션을 대신해 수행됩니다.
• EPPlus 네트워크 호출을 하지 않습니다. 모든 파일 I/O는 호스트 프로세스에 로컬입니다.
• EPPlus 인증이나 승인 메커니즘이 없습니다. 사용자를 식별하거나 자격 증명을 발급하거나 접근 권한을 제어하지 않습니다.
• EPPlus 자체 인프라가 없습니다 — 서버도, 클라우드 서비스도, 호스팅 엔드포인트도 없습니다.
• 침투 테스트는 호스트 애플리케이션 맥락에서만 의미가 있으며, EPPlus 독립적인 런타임이나 네트워크 표면을 노출하지 않기 때문입니다. 의미 있는 보안 테스트는 EPPlus를 사용하는 호스트 애플리케이션 수준에서 이루어집니다.

이것이 보안 평가에 의미하는 바

많은 표준 보안 설문지는 SaaS 제품이나 네트워크 서비스를 위해 설계되었습니다. TLS 구성, 접근 기록, 사용자 프로비저빙, 인프라 강화, 런타임 모니터링에 관한 질문은 EPPlus에는 적용되지 않습니다. EPPlus 해당 표면을 제공하지 않기 때문입니다.

EPPlus에 적용되는 보안 우려는 이 사이트의 다른 섹션에서 다루고 있습니다:

• 릴리스 무결성 — 릴리스가 조작되지 않았는지 확인하는 방법은 코드 서명 을 참조하세요.
• 의존성 무결성 — 각 릴리스의 전체 구성 요소 목록은 소프트웨어 자재 명세 서를 참조하십시오.
• 알려진 취약점 — 공개된 문제와 평가는 취 약점 공개 를 참조하세요.

보안 개발 관행

EPPlus 보안 관련 결함을 조기에 발견하기 위한 일련의 관행 하에 개발되었습니다:

• 모든 코드 변경은 풀 리퀘스트를 통해 이루어지며, 병합 전에 EPPlus 팀의 다른 구성원이 검토하고 승인해야 합니다. 이 과정은 공개되며 EPPlus GitHub 저장소에서 진행됩니다.
• 모든 변경 사항은 출시 전 CI/CD 파이프라인의 일부로 수천 개의 단위 테스트를 거칩니다.
• 소스 코드는 GitHub CodeQL에 의해 모든 푸시에서 분석됩니다. 자세한 내용은 소스 코드 스캔 을 참조하세요.
• 의존성은 알려진 취약점이 있는지 지속적으로 스캔됩니다. 자세한 내용은 취약점 스캐닝 을 참조하세요.