Segurança na EPPlus Software
A EPPlus Software está comprometida com a transparência e o tratamento responsável de vulnerabilidades de segurança. Esta seção oferece uma visão geral de nossas práticas de segurança, incluindo composição de software, varredura de vulnerabilidades e análise do código-fonte.
Gerenciamento de Vulnerabilidades
Política de Divulgação de Vulnerabilidades
Nossa política coordenada de divulgação de vulnerabilidades descreve como relatar vulnerabilidades de segurança, o que esperar de nós e como lidamos com os relatórios. Estabelecido de acordo com a Lei de Resiliência Cibernética da UE.
Divulgações de Vulnerabilidades
Vulnerabilidades divulgadas publicamente no EPPlus e suas dependências. Cada entrada foi revisada pela equipe do EPPlus e inclui uma avaliação com ações recomendadas.
Varredura de Vulnerabilidades
O EPPlus e suas dependências são regularmente escaneados em busca de vulnerabilidades conhecidas. Os resultados da varredura, incluindo referências de CVE e status de remediação, são publicados para cada versão suportada.
Varredura do Código-Fonte
O código-fonte do EPPlus é continuamente analisado usando o GitHub CodeQL, que escaneia possíveis vulnerabilidades de segurança e erros de código a cada envio para nossos principais branches.
Informações sobre o Produto
Perfil de Segurança
O que EPPlus é, como ele funciona e pelo que é responsável. Inclui perfil arquitetônico e orientações para avaliações de segurança do cliente.
Versões suportadas
Ciclo de vida do suporte para cada versão principal do EPPlus, incluindo períodos de suporte ativo e suporte de segurança. Atualizações de segurança são fornecidas sem custo adicional durante o período de suporte de segurança. A elegibilidade para uso comercial exige uma licença comercial atual ou já detida que cubra a versão principal.
Integridade da Cadeia de Suprimentos
Assinatura de Códigos
Cada lançamento do EPPlus é assinado digitalmente com um certificado de assinatura de código emitido pela GlobalSign. Todos os assemblies em todos os frameworks de alvo suportados — assim como o próprio pacote NuGet — são assinados como parte do nosso pipeline automatizado de lançamentos.
Lista de Materiais de Software (SBOM)
Publicamos uma Lista de Materiais de Software para cada lançamento do EPPlus, listando todas as dependências de terceiros com versões, licenças e checksums. SBOMs estão disponíveis no formato JSON CycloneDX.