EPPlus hakkında
EPPlus, Office Open XML formatında Excel elektronik tablo dosyalarını okumak ve yazmak için .NET sınıf bir kütüphanedir. Birden fazla .NET hedef çerçevesi için imzalı montajlar içeren NuGet paketi olarak dağıtılır ve müşteri yapımı uygulamalar içinde bir bileşen olarak kullanılmak üzere tasarlanmıştır.
EPPlus nasıl çalışıyor
EPPlus kendi çalışma zamanı yoktur. Bu, bir ana uygulama uygulamasının sürecine yüklenen ve tamamen o süreç içinde çalıştırılan bir kütüphanedir. Bu, güvenlik profili için aşağıdaki sonuçları taşır:
- EPPlus kendi sürecinde çalışmaz. Başvuru içinde işlem içi kod olarak çalışır.
- EPPlus kendi veritabanını veya kalıcı depolamasını yönetmez. Her türlü dosya veya veri işlemesi ana uygulama adına gerçekleştirilir.
- EPPlus ağ çağrıları yapmaz. Tüm dosya giriş/girişleri ana işlem için yereldir.
- EPPlus kimlik doğrulama veya yetkilendirme mekanizması yoktur. Kullanıcıları tanımamaz, kimlik bilgileri vermez veya erişimi kontrol etmez.
- EPPlus kendi altyapısı yok — ne sunucu, ne bulut servisi, ne barındırılan uç nokta.
- Penetrasyon testi yalnızca bir ana uygulama bağlamında anlamlıdır, çünkü EPPlus bağımsız çalışma zamanı veya ağ yüzeyi ortaya çıkarmaz. Anlamlı güvenlik testi, EPPluskullanan ana uygulama seviyesinde gerçekleşir.
Bu güvenlik değerlendirmeleri için ne anlama geliyor?
Birçok standart güvenlik anketi SaaS ürünleri veya ağ hizmetleri için tasarlanmıştır. TLS yapılandırması, erişim kaydı, kullanıcı sağlamlığı, altyapı sertleştirme veya çalışma zamanı izleme ile ilgili sorular EPPlusiçin geçerli değildir çünkü EPPlus bu yüzeylerin hiçbirini sağlamaz.
EPPlus için geçerli olan güvenlik endişeleri bu sitenin diğer bölümlerinde ele alınmıştır:
- Sürüm bütünlüğü — bir sürümün kuranmadığını nasıl doğrulayacağınızı bilmek için Kod İmzalama'ya bakınız.
- Bağımlılık bütünlüğü — her sürümün tam bileşen envanteri için Yazılım Materyaller Listesi'ne bakınız.
- Bilinen güvenlik açıkları — açıklanan sorunlar ve değerlendirmelerimiz için Güvenlik Açıklığı Açıklamalarına bakınız.
Güvenli geliştirme uygulamaları
EPPlus , güvenlik ile ilgili kusurlar da dahil olmak üzere kusurları erken yakalamayı amaçlayan bir dizi uygulama altında geliştirilmiştir:
- Tüm kod değişiklikleri pull requests yoluyla yapılır ve birleştirilmeden önce EPPlus ekibinin başka bir üyesi tarafından incelenip onaylanmalıdır. Bu süreç kamuya açıktır ve EPPlus GitHub deposunda gerçekleşir.
- Her değişiklik, CI/CD pipeline'ımızın bir parçası olarak binlerce birim testinden geçer.
- Kaynak kodu, her itişte GitHub CodeQLtarafından analiz edilir. Detaylar için Kaynak Kodu Taraması'na bakınız.
- Bağımlılıklar, bilinen güvenlik açıları açısından sürekli olarak taranır. Detaylar için Güvenlik Taraması'na bakınız.
Sorumluluk sınırı
EPPlus ana uygulama süreci içinde çalıştığı için, genel güvenlik durumu sorumluluğu paylaşılır. EPPlus Software AB, kütüphanenin içindekilerden sorumludur — kodun doğruluğu, serbest bırakılan eserlerin bütünlüğü ve bildirilen açıklıkların zamanında ele alınması. Ana uygulama kütüphanenin etrafındaki her şeyden sorumludur — çalışma zamanı ortamı, erişen kullanıcılar ve işleme için ona iletilen veriler.
Host uygulama sorumlulukları
- Bir dosyanın güvenilir mi yoksa güvenilmediği mi de güvenilir olup olmadığına karar vermeden önce EPPlus.
- Süreç düzeyinde kaynak sınırları (bellek, CPU, işlem süresi) uygulanır.
- Ana uygulama kullanıcılarının kimlik doğrulaması ve yetkilendirilmesi.
- Ana uygulama üzerinde çalıştığı altyapıyı işletmek.
EPPlus Software AB sorumlulukları
- Kütüphane kodunun doğruluğu ve güvenliği.
- İyi oluşturulmuş ve yanlış şekillendirilmiş giriş dosyalarının belgelenmiş sınırlar içinde işlenmesi.
- Bildirilen zafiyetlerin zamanında düzeltilmesi ve Güvenlik Açıklığı Politikamız doğrultusunda gerçekleşmesi.
- Kod imzalama ve yayımlanan SBOM'lar aracılığıyla tedarik zinciri bütünlüğünü korumak.