信任中心

概览

这是 NextPDF 核心引擎的信任中心。它是四份文档的入口：引擎威胁模型、签名与加密安全模型、数据处理与 PII 行为，以及漏洞披露政策。每一页都说明该库在某个特定方面如何运作，以及库的责任止于何处、部署的责任又从何处开始。

边界。 本页及其链接到的各页，描述的是工程立场：内建于核心引擎的设计选择、默认值与缓解措施，并由它自己的测试套件验证。它们并不是认证、审计报告，也不是法律保证。这里没有任何陈述主张在你的部署中这个库是“安全的”。安全是整个系统的属性 ——你的密钥保管、你的验证者政策、你的网络，以及你的运维实践——而非单一依赖项的属性。

安装

这里描述的信任立场适用于核心引擎：

composer require nextpdf/core:^3

阅读这几页不需要任何额外软件包。它们所描述的行为，由随同一软件包发布的核心测试套件实际演练。

概念总览

信任中心的组织原则是：每个文档页都必须同时说明引擎做了什么，以及它不承诺什么。这四个子页面划分了完整范围：

威胁模型 —— 引擎所考量的攻击类别（SSRF、XXE、解压缩炸弹、路径遍历、内容注入）、默认拒绝立场，以及用于缓解各类别风险的代码内防护。它记录的是已考量的威胁。它并不主张不存在漏洞。
安全模型 —— 密码学表面：AES-256 文档加密、PDF 权限位依赖阅读器配合的本质，以及 CMS/PAdES B-B 与 B-T 签名路径。它说明为什么“支持某种机制”不等于“你的部署是安全的”。
数据处理 —— 库会读取、保存在内存中以及写出的数据；应用于审计包的 PII 清除转换；以及可选启用、零额外开销的遥测路径。它描述的是库行为，而非部署层面的数据驻留。
披露 —— 协调式漏洞披露流程：私密通报渠道、响应时间目标，以及禁言期模型。它是一项流程承诺，而非结果保证。

每一页都会把自己的规范性主张呈现为一张“主张 → 条款 id + reference_id”对照表，数据来源是它 front-matter 中的 citations: 区块。读者可以据此重新推导出每一项陈述所依据的标准。

API 接口

不适用。信任中心是文档。支撑所述行为的 API 属于模块参考页的主题（/modules/core/security/、/modules/core/audit/），这里不再重复列出。本页链接到的是各个信任方面，而非符号。

代码示例 —— 快速上手

不适用。这是一个 Index（索引）页。它不主张任何可运行的行为。描述运行时行为的子页面，会在核心能够演示某项行为的位置附上各自的代码示例。

代码示例 —— 生产环境

不适用。请参阅各子页面。

边界情形与陷阱

信任页不是合同。 阅读这几页并不会授予任何担保。相关权利与义务由许可证（Apache-2.0）规范，其中的免责声明完整适用。
立场有版本之分。 这里描述的默认值与防护，是当前稳定主版本的默认值与防护。较旧的主版本可能采用较弱的默认值。安全政策记录了哪些主版本会收到修复。
“支持”是一再出现的陷阱。 在整个信任中心，支持某个配置文件或机制，永远不等于符合它，也不等于它是安全的。每一页都会用各自的措辞重申这条边界。

性能

不适用。文档没有运行时开销。底层安全操作的性能范围，记录在相关的模块页面上。

安全注意事项

信任中心的存在，是为了让安全边界明确化，而非任其隐含。有两条横切边界适用于每一页：

默认值是失效时关闭，而非万无一失。 引擎中的每个策略对象，发布时都采用公开 API 所允许的最严格设定。要放宽它，必须由调用方明确选择启用。失效时关闭的默认值，降低了意外暴露的机会。它并不免除运维者审查自己所选配置的责任。这呼应了 NIST SP 800-53 Rev. 5 CM-7（nist_sp_800_53r5#x4.x182.p14）中的最小化基线配置原则：最小化的基线是一个起点。任何放宽都是一项明确且有记录的决定。
有记录的需求，而非全面保证。 信任中心会对照有记录的安全需求来验证行为，精神上呼应 OWASP ASVS 5（owasp_asvs_5#x165）：验证标准衡量的是对所列举需求的符合程度。它并不认证没有任何遗漏。

符合性

作为配置文件并不适用。这个索引页并未实现任何符合性配置文件。凡是子页面触及某项标准之处（加密与签名对应 ISO 32000-2，披露对应 ISO/IEC 29147/30111，数据处理对应 EU GDPR / ISO/IEC 29100），都会在它自己的 front-matter 中引用具体条款与 reference_id，并自行渲染出“主张 → 条款”对照表。