Profil bezpieczeństwa

Jak działa EPPlus

EPPlus nie ma własnego czasu trwania. Jest to biblioteka ładowana do procesu aplikacji hosta i wykonywana w całości w ramach tego procesu. Ma to następujące konsekwencje dla profilu bezpieczeństwa:

• EPPlus nie działa samodzielnie. Działa jako kod w trakcie procesu w aplikacji, która go odwołuje.
• EPPlus nie zarządza własną bazą danych ani trwałą pamięcią. Każda obsługa plików lub danych odbywa się w imieniu aplikacji hosta.
• EPPlus nie wykonuje wywołań sieciowych. Wszystkie operacje wejścia/wyjścia plików są lokalne dla procesu hosta.
• EPPlus nie posiada mechanizmu uwierzytelniania ani autoryzacji. Nie identyfikuje użytkowników, nie nadaje danych uwierzytelniających ani nie kontroluje dostępu.
• EPPlus nie ma własnej infrastruktury — żadnych serwerów, usług chmurowych, hostowanych punktów końcowych.
• Testy penetracyjne mają znaczenie tylko w kontekście aplikacji hosta, ponieważ EPPlus nie ujawniają samodzielnego środowiska działania ani powierzchni sieciowej. Znaczące testy bezpieczeństwa odbywają się na poziomie aplikacji hosta, która korzysta z EPPlus.

Co to oznacza dla ocen bezpieczeństwa

Wiele standardowych kwestionariuszy bezpieczeństwa jest projektowanych dla produktów SaaS lub usług sieciowych. Pytania dotyczące konfiguracji TLS, logowania dostępu, udostępniania użytkownika, hartowania infrastruktury, monitorowania czasu działania czy przechowywania danych nie dotyczą EPPlus, ponieważ EPPlus nie udostępnia żadnej z tych powierzchni.

Obawy dotyczące bezpieczeństwa, które dotyczą EPPlus , są omówione w innych sekcjach tej strony:

• Integralność wydania — zobacz Podpisywanie kodu , aby zweryfikować, że wydanie nie zostało zmienione.
• Integralność zależności — zobacz Listę Materiałów Oprogramowania , aby poznać pełny inwentarz komponentów każdej wersji.
• Znane podatności — zobacz Ujawnienia podatności dla ujawnionych problemów oraz nasze oceny.
• Raportowanie i reagowanie — zobacz naszą Politykę Ujawniania Podatności , aby dowiedzieć się, jak zgłaszać problem bezpieczeństwa, nasz skoordynowany proces ujawniania, cele wewnętrznej reakcji oraz obowiązki raportowania wynikające z artykułu 14 CRA do CERT-SE i ENISA.

Bezpieczne praktyki rozwojowe

EPPlus jest opracowywany w ramach zestawu praktyk mających na celu wczesne wykrywanie wad — w tym tych istotnych dla bezpieczeństwa:

• Wszystkie zmiany w kodzie są dokonywane poprzez pull requesty i muszą zostać przejrzane oraz zatwierdzone przez innego członka zespołu EPPlus przed połączeniem. Proces ten jest publiczny i odbywa się w repozytorium EPPlus na GitHubie.
• Każda zmiana przechodzi tysiące testów jednostkowych w ramach naszego pipeline'u CI/CD przed wydaniem.
• Kod źródłowy jest analizowany przy każdym pushu przez GitHub CodeQL. Szczegóły można znaleźć w sekcji Source Code Scaning .
• Zależności są nieustannie skanowane pod kątem znanych luk. Szczegóły znajdziesz w sekcji Skanowanie podatności .