تشغيل NextPDF في بيئة الإنتاج

Spec Spec: ISO 9241-112:2025, §6.1.2.3 ISO 9241-112:2025 §6.1.2.3 Spec Spec: ISO/IEC/IEEE 26514:2022, §3.x162 ISO/IEC/IEEE 26514:2022 §3.x162 Evidence ◈ Artifact-backed Evidence: Artifact-backed

لمحة سريعة

تشغيل محرك ⁨PDF⁩ في بيئة الإنتاج ليس مجرد “استدعِه وأرسِل البايتات.” أنت مسؤول عمّا يخبرك به عندما يكون العرض سليماً، وما يفعله عندما لا يكون كذلك، وأين تتصل به للمراقبة، وأي العمليات الخطِرة يرفض تنفيذها بصمت. تصف هذه الصفحة السطح التشغيلي — أي المنافذ والخصائص التي يتحمّلها الفريق يوم تشغيل ⁨NextPDF⁩ فعلياً.

لماذا يهمّ هذا

يُخفِق محرك المستندات بطريقة تختلف عن الخدمة النمطية. فكثيراً ما تكون حالات الإخفاق صامتة: تخطيط متدهور لا يزال يُنتج ملفاً، ومورد خارجي محجوب يُغيِّر الخَرج، ومستند غير موقَّع يبدو موقَّعاً. إذا أخفى المحرك هذه الأمور، فستكتشفها عبر عميل، لا عبر لوحة معلومات. وإذا أظهرها، فإنها تصبح تنبيهاً ومدخلاً في دليل التشغيل بدلاً من أن تتحول إلى حادثة.

لذلك لا تكون قابلية التشغيل ميزة تضيفها لاحقاً. بل هي مسألة ما إذا كان المحرك قد بُني ليخبرك بالحقيقة عن كل عملية عرض — وقد بُني ⁨NextPDF⁩ كذلك.

النسخة المختصرة

• كل عملية عرض تُنتج تقريراً مُنظَّماً. النجاح، وعدد الصفحات، ووقت العرض، وذروة الذاكرة، ورموز التحذير، وحالات الرجوع الاحتياطي، والموارد الخارجية المحجوبة — كلها قابلة للتسلسل إلى ⁨JSON⁩ من أجل لوحة المعلومات لديك.
• يُصدِر المحرك أحداث دورة حياة ذات أنواع محدَّدة عبر مُوزِّع ⁨PSR-14⁩ بلا أي عبء إضافي عندما لا يوجد مستمع — وعندها تتصل خطّافات التدقيق والقياسات لديك.
• أنماط الإخفاق صريحة، لا صامتة. يُبلَّغ عن التكافؤ المتدهور. يُخفِق سطح التوقيع رفيع المستوى سريعاً. يُكتَب الخَرج كتابةً ذرّية. جلب الموارد الفرعية الخارجية مُعطَّل بحكم التصميم في مسار ⁨HTML⁩ داخل العملية.
• العمليات الخطِرة تتطلّب تدخّل إنسان في ⁨Connect.⁩ عند تعريض ⁨NextPDF⁩ لوكلاء الذكاء الاصطناعي، تُقيَّد الأدوات التدميرية أو الحرجة للخصوصية خلف تحدّي تأكيد — وهي أهم خاصية تشغيلية، وُضعت حيث ينبغي أن تراها (⁨ISO 9241-112⁩ §6.1.2.3).

كيف يتعامل ⁨NextPDF⁩ مع ذلك

يستند نموذج التشغيل إلى مبدأ واحد: يجب ألّا تكذب عملية العرض أبداً بشأن ما فعلته. تُجسِّد ذلك ثلاث آليات — تقرير، ودفق أحداث، ومجموعة من السلوكيات الآمنة عند الإخفاق. وتنطبق آلية رابعة عندما يُقاد المحرك بواسطة وكيل.

1. Observe each render Collect the per-render report — success, timing, peak memory, warnings, fallbacks, blocked-resource counts — into your telemetry sink.
2. Subscribe to lifecycle events Attach PSR-14 listeners for document, security, and serialization events for audit logging and metrics.
3. Detect degradation Treat degraded-parity and fallback signals as health indicators, not noise. They mean the output differs from the ideal render.
4. Gate the dangerous path In Connect, route destructive or privacy-critical operations through the human confirmation gate before they execute.

السطح التشغيلي من طرف إلى طرف: الأجهزة القياسية اختيارية وبلا كلفة عند عدم استخدامها؛ وتظهر أنماط الإخفاق بصورة بيانات أو حالات إخفاق سريعة، لا بصورة ملف خاطئ بصمت أبداً.

التقرير لقطة غير قابلة للتغيير ومُصمَّمة للتجميع. يبيّن ما إذا كانت عملية العرض قد نجحت، والمدة التي استغرقتها، وذروة الذاكرة، وأعداد التحذيرات لكل رمز، وما إذا كان وضع العرض الآمن نشطاً، وعدد طلبات الموارد الخارجية التي رُفِضت، وحالات الرجوع الاحتياطي للتخطيط التي وقعت. هذه الفئة الأخيرة مهمّة من الناحية التشغيلية. فارتفاع عدد “رجوع ⁨flex⁩ إلى ⁨block⁩” عبر أسطول من الخوادم إشارة إلى أن قالباً قد تغيّر، وتراها قبل أن يشكو أي مستخدم.

منفذ الأحداث متوافق مع ⁨PSR-14⁩ وزهيد التكلفة عن قصد. يعود المُوزِّع فوراً عندما لا يكون هناك مستمع مُسجَّل لفئة حدث ما. وبسبب ذلك، لا يكلّف إتاحة المنفذ شيئاً حتى تستخدمه. توجد أحداث ذات أنواع محدَّدة لإنشاء المستند وإخراجه، وإضافة الصفحات، وتحميل المحتوى والخطوط، وتطبيق التشفير، وتطبيق التوقيع، وتسلسل ⁨PDF.⁩ هذه هي النقاط التي يهتم بها فعلاً سجل التدقيق أو عدّاد القياسات. تأتي عقود المراقبة (عدّاد القياسات، والمقياس، والمدرَّج التكراري، ومجال التتبّع، وسجل تدقيق ⁨HSM⁩) مع تطبيقات عديمة العمل. لذلك يكون المحرك فعّالاً تماماً دون أي توصيل للقياس عن بُعد، ويصبح قابلاً للمراقبة عندما تربط تطبيقات حقيقية.

Human-factors note: Human-factors note

النقطة الأهم التي ينبغي تذكّرها: يفضّل ⁨NextPDF⁩ إخفاقاً صريحاً سريعاً أو تقريراً متدهوراً صادقاً على مستند خاطئ بصمت. استدعاء التوقيع رفيع المستوى يُخفِق سريعاً بدلاً من إصدار ملف غير موقَّع. يُكتَب الخَرج كتابةً ذرّية، بحيث يرى القارئ المتزامن الملف القديم أو الجديد، ولا يرى أبداً ملفاً مكتوباً جزئياً. لا يمكن تهيئة مُصيِّر ⁨HTML⁩ داخل العملية لجلب الموارد الفرعية البعيدة. عمليات تزوير الطلبات من جانب الخادم واستطلاعات بيانات السحابة الوصفية مُزالة بحكم التصميم، لا بإعداد يجب عليك تذكّره. من الناحية التشغيلية، تنطلق تنبيهاتك عند الإخفاق، لا عند أثره اللاحق.

ماذا تقول الأدلة

هذه الصفحة مدعومة بالنتائج الملموسة: فالسطح التشغيلي يتكوّن من أصناف وعقود حقيقية يمكنك توصيلها اليوم. Evidence ◈ Artifact-backed Evidence: Artifact-backed

التقرير موجود في الشيفرة: RenderReport كائن قيمة غير قابل للتغيير وقابل للتسلسل إلى ⁨JSON⁩ يحمل بالضبط الحقول الموصوفة — النجاح، وعدد الصفحات، ووقت العرض، وذروة الذاكرة، وأعداد التحذيرات لكل رمز، وراية الوضع الآمن، وحالات رفض الموارد الخارجية، وحالات الرجوع الاحتياطي، والطابع الزمني. منفذ الأحداث موجود في الشيفرة: EventDispatcher متوافق مع ⁨PSR-14⁩، وله مسار سريع بلا عبء إضافي وتسلسل هرمي للأحداث ذات الأنواع المحدَّدة يشمل أحداث المستند والأمان والمحتوى والكاتب. السلوكيات الآمنة عند الإخفاق موجودة في الشيفرة. تُغلِق الكتابة الذرّية للخَرج ثغرة ⁨time-of-check/time-of-use⁩ موثَّقة. ضمان عدم وجود موارد فرعية بعيدة في مسار ⁨HTML⁩ داخل العملية هو عقد @security مُفروض بحكم التصميم. يُطلِق سطح التوقيع رفيع المستوى تشخيصاً حاجباً بدلاً من إصدار ملف ⁨PDF⁩ غير موقَّع.

خاصية أمان الوكيل موجودة في شيفرة NextPDF Connect: Evidence { } Code-backed Evidence: Code-backed نموذج مخاطر من أربعة مستويات (آمن، وتحذير، ومراجعة، وموافقة مطلوبة) وبوابة تأكيد تقوم، بالنسبة لأداة تتطلّب موافقة، بإصدار رمز تحدٍّ ذي استخدام واحد وترفض المتابعة حتى تُعيد إبلاغ ذلك الرمز. تنبع مخاطرة الأداة من مصدرين اثنين بالضبط: إعلانها الخاص وتجاوز يحدّده المشغِّل لا يمكنه إلا رفعها. لذلك لا يمكن توسيع السطح الخطِر بصمت.

طريقة تنظيم هذه الصفحة نفسها مدعومة بمعيار: Spec Spec: ISO/IEC/IEEE 26514:2022, §3.x162 ISO/IEC/IEEE 26514:2022 §3.x162 يوصي بهيكلة المعلومات التشغيلية وفق المهام التي يؤدّيها القارئ، ولهذا تتطابق المراحل الأربع مع المراقبة والاشتراك والكشف والتقييد.

مثال عملي

تُظهِر الشيفرة أدناه منفذ المراقبة: مستمع ⁨PSR-14⁩ يحوِّل أحداث دورة الحياة وتقرير العرض إلى قياس عن بُعد. إنها توضِّح المنفذ؛ أمّا مستودع القياسات فاختياره لك.

<?php

declare(strict_types=1);

use NextPDF\Event\Document\DocumentOutputEvent;
use NextPDF\Event\Security\SignatureAppliedEvent;
use Psr\Log\LoggerInterface;

/**
 * Audit + metrics listener for production operation.
 *
 * Attaching this costs nothing until events fire — the dispatcher
 * short-circuits when no listener is registered for an event class.
 */
final readonly class OperationsListener
{
    public function __construct(
        private LoggerInterface $logger,
    ) {}

    public function onSignatureApplied(SignatureAppliedEvent $event): void
    {
        // Compliance trail: who signed, at what level, why.
        $this->logger->info('pdf.signature.applied', [
            'level'  => $event->signatureLevel,
            'signer' => $event->signerName,
            'reason' => $event->reason,
        ]);
    }

    public function onDocumentOutput(DocumentOutputEvent $event): void
    {
        // Pair this with the engine's RenderReport for the full picture:
        // success, render_time_ms, peak_memory_bytes, fallback_occurrences.
        $this->logger->info('pdf.document.output', [
            'event' => $event::class,
        ]);
    }
}

المغزى هو المنفذ، لا المحتوى. يسلِّمك المحرك أحداثاً ذات أنواع محدَّدة وتقريراً مُنظَّماً. أمّا ما تُمرِّره، أو تأخذ منه عيّنات، أو تبني عليه التنبيهات، فهو قرار تشغيلي يتركه المحرك لك عن قصد.

مفهوم خاطئ شائع

المفهوم التشغيلي الخاطئ هو “إذا أعاد بايتات، فقد نجح.” يمكن أن تنجح عملية العرض وتظل متدهورة رغم ذلك. ربما رجع التخطيط إلى مسار احتياطي، أو حُجِبت صورة خارجية فغابت بصمت، أو لم تكن ميزة ما مدعومة في الوضع النشط. البايتات موجودة. لكن المستند ليس ما قصده القالب. يُبلِّغ المحرك عن هذه الأمور على هيئة تحذيرات وأعداد للرجوع الاحتياطي تحديداً لئلّا تُخلَط “إعادة البايتات” بـ”العرض بشكل صحيح”. معاملة القيمة المُعادة بوصفها إشارة النجاح الوحيدة هي الخطأ الذي يوجد هذا السطح لمنعه.

مفهوم خاطئ ثانٍ، خاص بـ ⁨Connect⁩: أن تعريض أدوات ⁨PDF⁩ لوكيل آمن لأن الأدوات “مجرد عرض”. العمليات التدميرية أو المُستبدِلة أو الحرجة للخصوصية مُقيَّدة خلف تحدّي تأكيد بشري لسبب وجيه. تجاوز تلك البوابة أو الإجابة عنها تلقائياً يُعيد بالضبط إدخال المخاطرة نفسها التي تزيلها.

الحدود والقيود

• المحرك يوفّر أدوات القياس القياسية؛ لكنه لا يُشغِّل مكدّس المراقبة لديك. يُصدِر تقريراً وأحداثاً ذات أنواع محدَّدة؛ أمّا الجمع والتنبيه ولوحات المعلومات والاحتفاظ فهي مسؤوليتك.
• المراقبة عديمة العمل هي الإعداد الافتراضي. تظل القياسات والتتبّعات وسجلات تدقيق ⁨HSM⁩ خاملة حتى تربط تطبيقات حقيقية — بحكم التصميم، كي يعمل المحرك دون أي توصيل. لكن هذا يعني أنه لا يُسجَّل شيء حتى تختار التفعيل.
• ينطبق الأمان عند الإخفاق ضد ⁨SSRF⁩ على مسار ⁨HTML⁩ داخل العملية. أمّا جسور المُصيِّرات الخارجية (المتصفح/⁨Office⁩) فتُجري نداءات صادرة بطبيعتها وتحمل تقوية النقل الخاصة بها. هذا الضمان يخص تحديداً المسار داخل العملية.
• بوابة التأكيد البشري خاصية في ⁨NextPDF Connect.⁩ تحكم الاستدعاء المُقاد بالوكيل. إنها ليست ميزة عامة في ⁨PDF⁩، وترتبط باسم الأداة وقيمة ⁨nonce⁩، لا بتجزئة الوسائط.
• سطح التوقيع رفيع المستوى يُخفِق سريعاً. إنه ليس موقِّعاً موصَّلاً. من الناحية التشغيلية، عامِل تشخيصه بوصفه الإشارة، واستخدم المسار الموصَّل الأدنى مستوى لإجراء التوقيع الفعلي.
• هذه الصفحة مدعومة بالنتائج الملموسة: كل منفذ مذكور هو صنف أو عقد حقيقي، لكن تشغيله بشكل جيد مسؤوليتك.

Observability and operational seams — edition availability

Edition	Availability
Core	○ إن RenderReport، ومُوزِّع أحداث ⁨PSR-14⁩، والتسلسل الهرمي للأحداث ذات الأنواع المحدَّدة، وعقود المراقبة عديمة العمل، والكتابات الذرّية للخَرج، والأمان عند الإخفاق ضد ⁨SSRF⁩ داخل العملية، كلها جزء من ⁨Core.⁩
Pro	○ يضيف أحداث دورة حياة الأمان (تطبيق التشفير/التوقيع) التي تحمل قيمة تشغيلية حالما يكون التوقيع قيد الاستخدام.
Enterprise	○ يضيف منفذ سجل تدقيق ⁨HSM⁩ ونتائج التحقّق بوصفها إشارات تشغيلية؛ ويضيف ⁨NextPDF Connect⁩ بوابة التأكيد البشري للعمليات عالية المخاطر المُقادة بالوكيل.

مستندات ذات صلة

• نموذج خط الأنابيب — البنية المرحلية التي تجعل منافذ المراقبة هذه ممكنة وتوضح مواضعها.
• التوقيع المدعوم بـ ⁨HSM⁩ — الشكل التشغيلي للمفاتيح المدعومة بالعتاد، وموضع حدّ التدقيق.
• توليد المستندات عالي الحجم — تحويل تقرير كل عملية عرض إلى إشارات سعة وسلامة على نطاق واسع.

مسرد المصطلحات

• ⁨RenderReport⁩ — لقطة قياسات المحرك غير القابلة للتغيير والقابلة للتسلسل إلى ⁨JSON⁩ لكل عملية عرض، وتُستخدَم بوصفها إشارة السلامة الأساسية.
• ⁨PSR-14⁩ — معيار ⁨PHP⁩ لمُوزِّع الأحداث؛ ومُوزِّع ⁨NextPDF⁩ متوافق معه وبلا عبء إضافي عند عدم استخدامه.
• التكافؤ المتدهور — عملية عرض اكتملت، لكن خَرجها يختلف عن المثالي لأن ميزة رجعت احتياطياً أو لم تكن مدعومة.
• حالة رجوع احتياطي — حالة مُسجَّلة يستبدل فيها محرك التخطيط سلوكاً أبسط (على سبيل المثال عرض ⁨flex⁩ بصفة ⁨block⁩).
• ⁨SSRF⁩ (تزوير الطلبات من جانب الخادم) — هجوم يُخدَع فيه الخادم لإجراء طلبات إلى أهداف داخلية. وهو مُزال بحكم التصميم في مسار ⁨HTML⁩ داخل العملية.
• بوابة التأكيد — آلية ⁨NextPDF Connect⁩ التي تتطلّب رمزاً ذا استخدام واحد يُبلِّغه إنسان قبل تنفيذ أداة عالية المخاطر مُستدعاة بالوكيل.
• الكتابة الذرّية — كتابة خَرج يرى فيها القارئ المتزامن إمّا الملف السابق أو الملف الجديد الكامل، ولا يرى أبداً ملفاً جزئياً.