Software Bill of Materials
EPPlus Software fornisce un Software Bill of Materials (SBOM) per ogni release EPPlus dalla versione 7.3 in poi. Il SBOM elenca tutte le dipendenze di terze parti incluse in EPPlus, insieme alle loro versioni, licenze e checksum.
Tutti gli SBOM sono forniti in formato JSON CycloneDX (specifica versione 1.6), con checksum SHA-256 per la verifica. Quando disponibile, espandi una riga per scaricare il SBOM di uno specifico framework target.
Attualmente non sono disponibili file SOM.
Informazioni sull'accesso all'API e sul formato
Ogni SBOM può essere consultato direttamente tramite un URL. Questo è utile per strumenti automatizzati e pipeline che consumano dati STEM.
Indice di tutte le versioni
Un indice JSON leggibile da macchina di tutti i file SBOM disponibili, inclusi versione, data di rilascio, URL di download e checksum SHA-256 .
https://epplussoftware.com/security/sbom/all.jsonVersione specifica
Restituisce un SBOM combinato contenente dipendenze su tutti i framework target per la versione specificata.
https://epplussoftware.com/security/sbom/{version}.jsonVersione specifica e framework target
Ogni SBOM è disponibile anche per framework target, per l'uso con strumenti che necessitano di dati di dipendenza specifici del framework.
https://epplussoftware.com/security/sbom/{version}/{tfm}.jsonUltima versione pubblicata
https://epplussoftware.com/security/sbom/latest.jsonIl SBOM è generato in formato JSON, specifica versione 1.6 CycloneDX . Include tutte le dipendenze NuGet con versioni, licenze e checksum SHA-512 .
- SBOM (Scheda Materiale Software)
- Un elenco strutturato e leggibile da macchina di tutti i componenti di terze parti inclusi in un prodotto software — simile a una lista degli ingredienti. Gli SBOM sono utilizzati dai team di sicurezza e dagli strumenti automatizzati per identificare vulnerabilità note nelle dipendenze di un prodotto.
- Framework Target (TFM)
- EPPlus è progettato per più versioni di .NET contemporaneamente, come net462 (.NET Framework 4.6.2), netstandard2.0, net8.0 e net9.0. Ognuno di questi è chiamato framework target. Diversi framework target possono dipendere da diversi pacchetti NuGet o versioni di pacchetto, motivo per cui gli SBOM per TFM possono fornire informazioni di dipendenza più precise rispetto a un SBOM combinato.
- CycloneDX
- Uno standard SBOM aperto mantenuto dalla OWASP Foundation, ampiamente supportato da strumenti di sicurezza e scanner. CycloneDX definisce un formato JSON (o XML) strutturato per descrivere i componenti software e le loro relazioni. Gli SBOM EPPlus utilizzano il formato JSON CycloneDX, specifica versione 1.6. cyclonedx.org
- Somma di controllo SHA-256
- Un'impronta crittografica di un file. Confrontando il checksum di un SBOM scaricato con il valore qui elencato, puoi verificare che il file non sia stato manomesso o corrotto durante il trasporto.
- CVE (Vulnerabilità ed Esposizioni Comuni)
- Un identificatore standardizzato per una vulnerabilità di sicurezza pubblicamente nota, ad esempio CVE-2024-12345. Gli identificatori CVE sono assegnati da MITRE e riferiti in database di vulnerabilità come il National Vulnerability Database (NVD). Gli scanner di sicurezza utilizzano i componenti elencati in un SBOM per verificare la presenza di CVE noti.