トラストセンター
これは NextPDF コアエンジンのトラストセンターです。このページは、4 つのドキュメントへの入り口です。エンジンの脅威モデル、署名および暗号化のセキュリティモデル、データ取り扱いと PII の動作、そして脆弱性開示ポリシーです。各ページでは、ライブラリがどのように動作するか、ライブラリの責任がどこで終わり、デプロイ側の責任がどこから始まるかという特定の側面を説明します。
境界。 このページおよびリンク先の各ページでは、コアエンジンに組み込まれ、 独自のテストスイートによって検証されたエンジニアリング姿勢、すなわち設計上の選択、 デフォルト、緩和策について説明します。これらは認証、監査報告書、または法的保証ではありません。ここに記載されているいかなる記述も、お客様のデプロイ環境においてライブラリが「セキュア」であると主張するものではありません。 セキュリティはシステム全体の性質であり、お客様の鍵の管理、検証者ポリシー、 ネットワーク、そして運用上の実践によって決まるものであり、1 つの依存関係によって決まるものではありません。
インストール
「インストール」という見出しのセクションここで説明するトラスト姿勢は、コアエンジンに適用されます。
composer require nextpdf/core:^3これらのページを読むために追加のパッケージは必要ありません。これらのページで説明する動作は、同じパッケージに同梱されているコアのテストスイートによって検証されています。
概念の概要
「概念の概要」という見出しのセクショントラストセンターは、ドキュメントページではエンジンが行うことと約束しないことの両方を明記しなければならない、という原則に基づいて構成されています。4 つのサブページが、その範囲を分担します。
- 脅威モデル — エンジンが想定する攻撃のクラス(SSRF、XXE、解凍爆弾、パストラバーサル、コンテンツインジェクション)、デフォルト拒否の姿勢、および各クラスを緩和するコード内のガードについて説明します。これは 考慮された 脅威を文書化したものです。脆弱性が存在しないと主張するものではありません。
- セキュリティモデル — 暗号に関する側面として、AES-256 によるドキュメントの暗号化、PDF 権限ビットがリーダー協調的である性質、そして CMS/PAdES B-B および B-T の署名パスについて説明します。なぜ「メカニズムのサポート」が「お客様のデプロイ環境のセキュリティ」と同義ではないのかを説明します。
- データ取り扱い — ライブラリが読み取り、メモリ内に保持し、書き込むデータ、監査バンドルに適用される PII 除去変換、そしてオプトインでオーバーヘッドゼロのテレメトリパスについて説明します。これはライブラリの動作を説明するものであり、デプロイレベルのデータレジデンシーを説明するものではありません。
- 開示 — 協調的な脆弱性開示プロセスについて、非公開の受付チャネル、対応タイムラインの目標、およびエンバーゴモデルを説明します。これはプロセスへのコミットメントであり、結果の保証ではありません。
各ページでは、規範的な主張を、主張 → 条項 ID + reference_id の表として表示します。この表は、フロントマターの citations: ブロックに基づいています。読者は、各記述の標準規格上の根拠を再導出できます。
API サーフェス
「API サーフェス」という見出しのセクション該当しません。トラストセンターはドキュメントです。説明されている動作を支える API は、モジュールリファレンスのページ(/modules/core/security/、/modules/core/audit/)で扱われており、ここでは再掲しません。このページは、シンボルではなくトラストの各側面へのリンクを提供します。
コードサンプル — クイックスタート
「コードサンプル — クイックスタート」という見出しのセクション該当しません。これはインデックスページです。実行可能な動作については何も主張しません。ランタイムの動作を説明するサブページには、その動作がコアで実証可能な場合に、それぞれ独自のコードサンプルが含まれています。
コードサンプル — 本番環境
「コードサンプル — 本番環境」という見出しのセクション該当しません。サブページを参照してください。
エッジケースと落とし穴
「エッジケースと落とし穴」という見出しのセクション- トラストページは契約ではありません。 これらのページを読んでも保証が付与されるわけではありません。ライセンス(Apache-2.0)が適用されます。そこに記載された保証の免責事項が全面的に適用されます。
- 姿勢はバージョン管理されています。 ここで説明するデフォルトとガードは、現在の安定版メジャーバージョンのものです。古いメジャーバージョンでは、デフォルトがより弱い場合があります。セキュリティポリシーには、どのメジャーバージョンが修正を受けるかが記録されています。
- 「サポート」は繰り返し現れる落とし穴です。 トラストセンター全体を通じて、プロファイルやメカニズムのサポートは、それへの準拠やそのセキュリティと決して同じものではありません。各ページは、この境界をそれぞれの言葉で改めて述べています。
パフォーマンス
「パフォーマンス」という見出しのセクション該当しません。ドキュメントにランタイムコストはありません。基盤となるセキュリティ操作のパフォーマンス範囲は、該当するモジュールのページに記載されています。
セキュリティに関する注意事項
「セキュリティに関する注意事項」という見出しのセクショントラストセンターは、セキュリティの境界を暗黙的にではなく明示的にするために存在します。2 つの横断的な境界が、すべてのページに適用されます。
- デフォルトはフェイルクローズであり、フールプルーフ(完全無欠)ではありません。 エンジン内のすべてのポリシーオブジェクトは、パブリック API が許可する最も厳格な設定で提供されます。これを緩和するには、呼び出し側による明示的なオプトインが必要です。フェイルクローズのデフォルトは、偶発的な露出の可能性を減らします。ただし、運用者が選択した構成を確認する責任を取り除くものではありません。これは、NIST SP 800-53 Rev. 5 CM-7(
nist_sp_800_53r5#x4.x182.p14)のベースライン構成の原則を反映したものです。最小化されたベースラインは出発点です。いかなる緩和も、明示的に記録された決定です。 - 文書化された要件であり、包括的な保証ではありません。 トラストセンターは、OWASP ASVS 5(
owasp_asvs_5#x165)の精神に従い、文書化されたセキュリティ要件に照らして動作を検証します。検証標準は、列挙された要件への準拠を測定するものです。見落としが何もなかったことを証明するものではありません。
プロファイルとしては該当しません。このインデックスは準拠プロファイルを実装していません。サブページが標準規格(暗号化と署名については ISO 32000-2、開示については ISO/IEC 29147/30111、データ取り扱いについては EU GDPR / ISO/IEC 29100)に触れる場合、そのページは独自のフロントマターで該当する条項と reference_id を引用します。このページ自体が、主張 → 条項の表を表示します。