Trung tâm tin cậy

Tổng quan nhanh

Đây là trung tâm tin cậy dành cho core engine NextPDF. Hãy bắt đầu từ bốn tài liệu này: mô hình mối đe dọa của engine, mô hình bảo mật chữ ký và mã hóa, hành vi xử lý dữ liệu và thông tin nhận dạng cá nhân (PII), và chính sách công bố lỗ hổng. Mỗi trang mô tả một phần cụ thể trong cách thư viện hoạt động, cũng như điểm mà trách nhiệm của thư viện kết thúc và trách nhiệm của bản triển khai của bạn bắt đầu.

Ranh giới. Trang này và các trang mà nó liên kết tới mô tả tư thế kỹ thuật: các lựa chọn thiết kế, giá trị mặc định và biện pháp giảm thiểu được tích hợp trong core engine và được xác minh bằng bộ kiểm thử của nó. Chúng không phải là chứng nhận, báo cáo kiểm toán hay bảo đảm pháp lý. Không tuyên bố nào ở đây khẳng định rằng thư viện là “an toàn” trong bản triển khai của bạn. Bảo mật là một thuộc tính của toàn bộ hệ thống: cách bạn lưu giữ khóa, chính sách trình xác minh, mạng và quy trình vận hành của bạn, chứ không chỉ của riêng một phụ thuộc.

Cài đặt

Tư thế tin cậy được mô tả ở đây áp dụng cho core engine:

composer require nextpdf/core:^3

Bạn không cần gói bổ sung nào để đọc các trang này. Bộ kiểm thử của core đi kèm trong cùng gói kiểm chứng các hành vi được mô tả ở đây.

Tổng quan khái niệm

Trung tâm tin cậy được tổ chức quanh một nguyên tắc đơn giản: trang tài liệu phải nêu rõ engine làm gì và không hứa hẹn điều gì. Bốn trang con chia nhỏ phạm vi đó:

Mô hình mối đe dọa — các lớp tấn công mà engine xem xét (server-side request forgery (SSRF), xử lý XML external entity (XXE), decompression bomb, path traversal và content injection), tư thế mặc định từ chối, cùng các biện pháp bảo vệ trong mã để giảm thiểu từng lớp. Trang này ghi lại các mối đe dọa đã được xem xét. Trang không khẳng định là không có lỗ hổng.
Mô hình bảo mật — phạm vi mật mã: mã hóa tài liệu Advanced Encryption Standard 256-bit (AES-256), bản chất phụ thuộc vào sự hợp tác của trình đọc đối với các bit quyền của Portable Document Format (PDF), và đường ký Cryptographic Message Syntax (CMS)/PDF Advanced Electronic Signatures (PAdES) B-B và B-T. Trang này giải thích vì sao việc hỗ trợ một cơ chế không đồng nghĩa với bảo mật trong bản triển khai của bạn.
Xử lý dữ liệu — dữ liệu mà thư viện đọc, giữ trong bộ nhớ và ghi; phép biến đổi loại bỏ PII áp dụng cho các gói audit; và đường telemetry tùy chọn, không có chi phí phụ trội. Trang này mô tả hành vi của thư viện, chứ không mô tả nơi lưu trú dữ liệu ở cấp triển khai.
Công bố — quy trình công bố lỗ hổng có điều phối: các kênh tiếp nhận riêng tư, mục tiêu về thời gian phản hồi và mô hình cấm vận thông tin. Đây là cam kết về quy trình, không phải bảo đảm về kết quả.

Mỗi trang trình bày các tuyên bố quy chuẩn của mình dưới dạng bảng tuyên bố → clause-id + reference_id lấy từ khối citations: trong front-matter của trang đó. Bạn có thể truy nguyên cơ sở tiêu chuẩn cho từng phát biểu.

Phạm vi API

Không áp dụng. Trung tâm tin cậy là tài liệu. Các giao diện lập trình ứng dụng (API) hỗ trợ hành vi được mô tả nằm trong các trang tham chiếu module (/modules/core/security/, /modules/core/audit/) và không được liệt kê lại ở đây. Trang này liên kết tới các khía cạnh tin cậy, không phải các ký hiệu.

Mẫu mã — Bắt đầu nhanh

Không áp dụng. Đây là trang chỉ mục. Trang này không khẳng định hành vi nào có thể chạy được. Các trang con mô tả hành vi lúc chạy có kèm mẫu mã tại những chỗ core có thể minh họa hành vi đó.

Mẫu mã — Production

Không áp dụng. Xem các trang con.

Trường hợp biên & điểm cần lưu ý

Trang tin cậy không phải là hợp đồng. Việc đọc các trang này không mang lại cho bạn bảo hành. Giấy phép (Apache-2.0) là văn bản chi phối, và phần tuyên bố miễn trừ bảo hành của giấy phép đó được áp dụng đầy đủ.
Tư thế được đánh phiên bản. Các giá trị mặc định và biện pháp bảo vệ được mô tả ở đây thuộc về phiên bản major ổn định hiện tại. Một phiên bản major cũ hơn có thể có giá trị mặc định yếu hơn. Chính sách bảo mật ghi lại những phiên bản major nào được nhận bản vá.
“Hỗ trợ” là một cái bẫy lặp đi lặp lại. Xuyên suốt trung tâm tin cậy, việc hỗ trợ một profile hay cơ chế không bao giờ đồng nghĩa với việc tuân thủ profile đó hoặc bảo mật trong bản triển khai của bạn. Mỗi trang nêu lại ranh giới này bằng cách diễn đạt riêng của mình.

Hiệu năng

Không áp dụng. Tài liệu không có chi phí lúc chạy. Các trang module liên quan ghi lại giới hạn hiệu năng của các thao tác bảo mật nền tảng.

Lưu ý bảo mật

Trung tâm tin cậy nêu rõ các ranh giới bảo mật thay vì để chúng ở dạng ngầm hiểu. Hai ranh giới xuyên suốt áp dụng cho mọi trang:

Giá trị mặc định là fail-closed, không phải là tuyệt đối an toàn. Mọi đối tượng chính sách trong engine đều đi kèm với mức nghiêm ngặt nhất mà public API cho phép. Việc nới lỏng yêu cầu phía gọi phải chủ động chọn tham gia một cách rõ ràng. Một giá trị mặc định fail-closed làm giảm khả năng lộ lọt do sơ suất. Giá trị đó không xóa bỏ trách nhiệm của bạn trong việc rà soát cấu hình mà bạn chọn. Điều này phản ánh nguyên tắc cấu hình baseline trong National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53 Rev. 5 CM-7 (nist_sp_800_53r5#x4.x182.p14): một baseline được tối giản là điểm khởi đầu. Mọi sự nới lỏng đều là một quyết định rõ ràng và được ghi nhận.
Các yêu cầu được tài liệu hóa, không phải sự bảo đảm toàn diện. Trung tâm tin cậy xác minh hành vi bằng cách đối chiếu với các yêu cầu bảo mật được tài liệu hóa, theo tinh thần của Open Worldwide Application Security Project (OWASP) Application Security Verification Standard (ASVS) 5 (owasp_asvs_5#x165): một tiêu chuẩn xác minh đo lường mức tuân thủ đối với các yêu cầu được liệt kê. Điều đó không chứng nhận rằng không có gì bị bỏ sót.

Tuân thủ

Không áp dụng dưới dạng một profile. Chỉ mục này không triển khai profile tuân thủ nào. Khi một trang con đề cập tới một tiêu chuẩn (International Organization for Standardization (ISO) 32000-2 cho mã hóa và chữ ký, ISO/IEC 29147/30111 cùng với International Electrotechnical Commission (IEC) cho công bố, European Union (EU) General Data Protection Regulation (GDPR) / ISO/IEC 29100 cho xử lý dữ liệu), trang đó trích dẫn điều khoản cụ thể và reference_id trong front-matter riêng của mình. Chính trang đó trình bày bảng tuyên bố → điều khoản.