EPPlus 软件的安全性

EPPlus 软件致力于安全漏洞的透明和负责任的处理。本节概述了我们的安全实践,包括软件组合、漏洞扫描和源代码分析。

漏洞管理

漏洞披露政策

我们的协调漏洞披露政策描述了如何报告安全漏洞、对我们的预期以及我们如何处理报告。根据欧盟网络韧性法案设立。

阅读政策
漏洞披露

公开披露EPPlus及其依赖中的漏洞。每个条目均由EPPlus团队审核,并包含评估及推荐行动。

查看披露内容
漏洞扫描

EPPlus 及其依赖系统会定期被扫描已知漏洞。每个支持版本的扫描结果,包括CVE引用和修复状态,都会发布。

Vulnerability scanning
查看扫描结果
源代码扫描

EPPlus源代码通过GitHub CodeQL持续分析,每次推送到主分支时都会扫描潜在的安全漏洞和编码错误。

Code scanning
GitHub 上查看

产品信息

安全概况

EPPlus是什么,它是如何运行的,以及它负责什么。包括架构配置文件及客户安全评估的指导。

阅读更多
支持版本

每个EPPlus主要版本的支持生命周期,包括活跃支持和安全支持期。安全支持期间提供安全更新无需额外费用。商业使用资格需持有当前或之前持有的商业许可,涵盖主要版本。

查看版本

供应链完整性

代码签名

每个EPPlus版本都经过GlobalSign颁发的代码签名证书进行数字签名。所有支持的目标框架上的汇编——以及NuGet包本身——都作为我们自动化发布流程的一部分签名。

了解更多
软件材料清单(SBOM)

我们会为每个EPPlus版本发布软件材料清单,列出所有第三方依赖,包括版本、许可和校验和。SBOMs提供CycloneDX JSON格式。

查看SBOMs(统计名录)