Güvenlik Profili

EPPlus, Office Open XML formatında elektronik tablo işleme için .NET sınıf bir kütüphanedir. Birden fazla .NET hedef çerçeve için imzalı montajlar içeren NuGet paketi olarak dağıtılır ve müşteri yapımı uygulamalar içinde bir bileşen olarak kullanılmak üzere tasarlanmıştır.

EPPlus nasıl çalışıyor

EPPlus kendi çalışma süresi yok. Bu, bir ana uygulama sürecine yüklenen ve tamamen o süreç içinde çalışan bir kütüphanedir. Bu, güvenlik profili için aşağıdaki sonuçları getirir:

EPPlus kendi süreciyle çalışmaz. Başvuru içinde işlem içi kod olarak çalışır.
EPPlus kendi veritabanını veya kalıcı depolamasını yönetmez. Her türlü dosya veya veri işlemesi ana uygulama adına gerçekleştirilir.
EPPlus ağ aramaları yapmaz. Tüm dosya giriş/girişleri ana işlem için yereldir.
EPPlus doğrulama veya yetkilendirme mekanizması yoktur. Kullanıcıları tanımamaz, kimlik bilgileri vermez veya erişimi kontrol etmez.
EPPlus kendi altyapısı yok — ne sunucu, ne bulut servisi, ne barındırılan uç nokta.
Penetrasyon testi yalnızca bir ana uygulama bağlamında anlamlıdır, çünkü EPPlus bağımsız çalışma zamanı veya ağ yüzeyi açığa çıkarmaz. Anlamlı güvenlik testleri, EPPluskullanan ana uygulama seviyesinde gerçekleşir.

Bu güvenlik değerlendirmeleri için ne anlama geliyor?

Birçok standart güvenlik anketi, SaaS ürünleri veya ağ hizmetleri için tasarlanmıştır. TLS yapılandırması, erişim kaydı, kullanıcı sağlama, altyapı güçlendirme, çalışma zamanı izleme veya veri depolama ile ilgili sorular EPPlusiçin geçerli değildir çünkü EPPlus bu yüzeylerin hiçbirini sağlamaz.

EPPlus için geçerli olan güvenlik endişeleri bu sitenin diğer bölümlerinde ele alınmıştır:

Sürüm bütünlüğü — bir sürümün kuranmadığını nasıl doğrulayacağınızı bilmek için Kod İmzalama'ya bakınız.
Bağımlılık bütünlüğü — her sürümün tam bileşen envanteri için Yazılım Materyaller Listesi'ne bakınız.
Bilinen güvenlik açıkları — açıklanan sorunlar ve değerlendirmelerimiz için Güvenlik Açıklığı Açıklamalarına bakınız.
Raporlama ve yanıt — güvenlik sorununun nasıl bildirileceği, koordineli açıklama sürecimiz, iç müdahale hedefleri ve CRA Madde 14 raporlama yükümlülükleri için Güvenlik Açılığı Açıklama Politikamıza bakınız.

Güvenli geliştirme uygulamaları

EPPlus , güvenlik ile ilgili kusurlar da dahil olmak üzere kusurları erken yakalamayı amaçlayan bir dizi uygulama altında geliştirilmiştir:

Tüm kod değişiklikleri pull requests yoluyla yapılır ve birleştirilmeden önce EPPlus ekibinin başka bir üyesi tarafından incelenip onaylanmalıdır. Bu süreç kamuya açık olup EPPlus GitHub deposunda gerçekleşir.
Her değişiklik, CI/CD pipeline'ımızın bir parçası olarak binlerce birim testinden geçer.
Kaynak kodu, her itişte GitHub CodeQLtarafından analiz edilir. Detaylar için Kaynak Kodu Taraması'na bakınız.
Bağımlılıklar bilinen güvenlik açıkları açısından sürekli taranır. Detaylar için Güvenlik Hakkı Taraması'na bakınız.

Sorumluluk sınırı

EPPlus ana uygulamanın süreci içinde çalıştığı için, genel güvenlik duruşunun sorumluluğu paylaşılır. EPPlus Software AB, kütüphanenin içindekilerden sorumludur — kodun doğruluğu, serbest bırakılan eserlerin bütünlüğü ve bildirilen güvenlik açıklarının zamanında ele alınması. Ana uygulama kütüphanedeki her şeyden sorumludur — çalışma zamanı ortamı, erişen kullanıcılar ve işleme için ona iletilen veriler.

Host uygulama sorumlulukları

Bir dosyanın güvenilir mi yoksa güvenilmediği mi de güvenilir olup olmadığına karar vermeden önce EPPlus.
Süreç düzeyinde kaynak sınırları (bellek, CPU, işlem süresi) uygulanır.
Ana uygulama kullanıcılarının kimlik doğrulaması ve yetkilendirilmesi.
Ana uygulama üzerinde çalıştığı altyapıyı işletmek.

EPPlus Software AB sorumlulukları

Kütüphane kodunun doğruluğu ve güvenliği.
İyi oluşturulmuş ve yanlış biçimlendirilmiş giriş dosyalarının, belgelenmiş sınırlar içinde, ana uygulamanın sunduğu şeylerin ötesinde sandbox veya izolasyon olmadan işlenmesi.
Bildirilen zafiyetlerin zamanında düzeltilmesi ve Güvenlik Açıklığı Politikamız doğrultusunda gerçekleşmesi.
Kod imzalama ve yayımlanan SBOM'lar aracılığıyla tedarik zinciri bütünlüğünü korumak.