信任中心

概覽

這是 NextPDF 核心引擎的信任中心。它是四份文件的入口：引擎威脅模型、簽章與加密安全模型、資料處理與 PII 行為，以及漏洞揭露政策。每一頁都說明這個函式庫某一個特定面向的運作方式，以及函式庫的責任在哪裡結束、部署責任又從哪裡開始。

邊界。 本頁以及它連到的各頁，描述的是工程立場：內建於核心引擎的設計選擇、預設值與緩解措施，並由它自己的測試套件驗證。它們不是認證、稽核報告或法律保證。這裡沒有任何陳述主張這個函式庫在你的部署中是「安全的」。安全是整個系統的屬性——你的金鑰保管、你的驗證者政策、你的網路，以及你的維運實務——而非單一依賴項的屬性。

安裝

這裡描述的信任立場適用於核心引擎：

composer require nextpdf/core:^3

閱讀這幾頁不需要任何額外套件。它們描述的行為，會由隨同一套件出貨的核心測試套件實際演練。

概念總覽

信任中心的組織原則是：每一頁文件都必須同時陳明引擎做了什麼，以及它不承諾什麼。這四個子頁面切分了整體範圍：

威脅模型 —— 引擎納入考量的攻擊類別（SSRF、XXE、解壓縮炸彈、路徑遍歷、內容注入）、預設拒絕的立場，以及程式碼內緩解各類別的防護措施。它記錄的是已考量的威脅，並不主張不存在漏洞。
安全模型 —— 密碼學相關面向：AES-256 文件加密、PDF 權限位元必須仰賴閱讀器配合的本質，以及 CMS/PAdES B-B 與 B-T 簽章路徑。它說明為什麼「支援某種機制」不等於「你部署的安全性」。
資料處理 —— 函式庫會讀取、保留在記憶體中並寫出的資料；套用於稽核包的 PII 清除轉換；以及可選擇啟用、零額外負擔的遙測路徑。它描述的是函式庫行為，而非部署層級的資料落地。
揭露 —— 協調式漏洞揭露流程：私密通報管道、回應時間目標，以及禁言期模型。它承諾的是流程，而非結果保證。

每一頁都會將其規範性主張，呈現為一張「主張 → 條款 id + reference_id」對照表，資料來源是該頁 front-matter 中的 citations: 區塊。讀者可以據此重新推導每一項陳述所依據的標準。

API 介面

不適用。信任中心是文件。支撐所述行為的 API 屬於模組參考頁的主題（/modules/core/security/、/modules/core/audit/），這裡不再重複列出。本頁連到的是各個信任面向，而非符號。

程式碼範例 —— 快速上手

不適用。這是一個 Index（索引）頁。它不主張任何可執行行為。描述執行階段行為的子頁面，會在核心能示範某項行為之處，附上各自的程式碼範例。

程式碼範例 —— 生產環境

不適用。請參閱各子頁面。

邊界情境與陷阱

信任頁不是契約。 閱讀這幾頁並不授予任何擔保。相關權利義務由授權條款（Apache-2.0）規範，其中的免責聲明完整適用。
立場有版本之分。 這裡描述的是目前穩定主版本的預設值與防護。較舊的主版本可能採用較弱的預設值。安全政策記錄了哪些主版本會收到修補。
「支援」是一再出現的陷阱。 在整個信任中心，支援某個設定檔或機制，永遠不等於符合它，也不等於它具備安全性。每一頁都會用各自的措辭重申這條邊界。

效能

不適用。文件沒有執行階段成本。底層安全操作的效能範圍，記錄在相關模組頁面上。

安全注意事項

信任中心存在的目的，是讓安全邊界明確化，而不是讓它維持隱含。有兩條跨領域的邊界適用於每一頁：

預設值是失效時關閉，而非萬無一失。 引擎中的每個政策物件，出貨時都採用公開 API 所允許的最嚴格設定。若要放寬，必須由呼叫端明確選擇啟用。失效時關閉的預設值降低了意外曝險的機會，但不免除維運者檢視自身所選組態的責任。這呼應了 NIST SP 800-53 Rev. 5 CM-7（nist_sp_800_53r5#x4.x182.p14）中的最小化基準組態原則：最小化的基準是一個起點。任何放寬都是一項明確且有記錄的決定。
有記錄的需求，而非全面保證。 信任中心會依據有記錄的安全需求來驗證行為，在精神上呼應 OWASP ASVS 5（owasp_asvs_5#x165）：驗證標準衡量的是對列舉需求的符合程度。它並不認證沒有任何遺漏。

符合性

就設定檔而言，不適用。這個索引頁並未實作任何符合性設定檔。各子頁面凡是觸及某項標準之處（加密與簽章對應 ISO 32000-2，揭露對應 ISO/IEC 29147/30111，資料處理對應 EU GDPR / ISO/IEC 29100），都會在自己的 front-matter 中引用具體條款與 reference_id，並自行繪製「主張 → 條款」對照表。