セキュリティに関する考慮事項
セキュリティの観点から、JPedalは3つの異なる領域に分けられます:
- JPedalの開発とテストの方法
- PDF処理(Java)
- ドキュメントの取り扱い
すべてのコードは、IDRsolutionsの正社員によって社内で記述され、当社のプライベートリポジトリに保存されています。すべてのコード変更は、少なくとも2人の他の開発者によってピアレビューされます。また、すべてのコード変更は、SonarQubeと多数のユニットテストを使用して、パフォーマンス、リグレッション、セキュリティ、コードセキュリティについてもテストされます。
私たちはAIを、開発者がより良いコードを書くのに役立つ有用なツールと見なしています(Stack Overflow、AIコードヒントなどを使用するのと同様です)。ウェブサイトで見つけたコードを単純にコピー&ペーストしないのと同じように、私たちのコードベースにあるすべてのコードは、私たちによって開発され、私たちによってレビューされ、そして最も重要なことに、私たちによって完全に理解されています。
私たちの戦略は次のとおりです:
- できるだけ早くパッチ版をリリースする
- すべての顧客に非公開で通知し、最新バージョンへの更新を推奨する
- 次の一般リリースで修正されたことを公に認め、確認する(すべての顧客がこの問題を抱えていないことを確認した上で)。これは、2018年にJPedal製品でのXXE脆弱性の可能性について発生しました。リリースノートを参照
JPedalはJavaアプリケーションであり、すべての処理はJava仮想マシン(JVM)内で行われます。Java以外に、必要なシステム依存関係はありません。
JPedalはサーバーコード内でサードパーティライブラリを一切使用していないため、サードパーティの脆弱性にさらされることを防ぎます。
JPedal ViewerはGUIのために、サードパーティのFlatLAF ライブラリをオプションとして使用します。
JPedalは、トライアル版がトライアル使用状況を追跡する場合を除き、ネットワーク呼び出しを一切行いません。
JPedalはさまざまな方法でドキュメントを処理し、セキュリティ上の懸念事項は使用ケースによって異なります。
PDFファイルには任意のJavaScriptが含まれている可能性がありますが、JPedalはそれを実行することはありません。
PDFファイルには任意の埋め込みファイルが含まれている可能性がありますが、JPedalはそれを実行することはありません。JPedalにはこれらのファイルを抽出する機能が含まれているため、取り扱う際には注意が必要です。
JPedalはPdfManipulator クラスを使用してPDFファイルをサニタイズするオプションも提供しています。
PDFファイルは、処理に過度なシステムリソースを要求することで悪意を持って動作する可能性があります。この脅威は、メモリ制限を設定し、最大変換時間を利用することで軽減できます。
JPedal Viewerの唯一の懸念事項は、フィッシング攻撃にハイパーリンクを使用しようとする悪質なPDFファイル、または悪意のあるファイル添付を保存して開くことによる潜在的なリスクです。
PDFファイルを画像に変換したり、コンテンツを抽出したり、PDFファイルを操作するためにサーバー上でJPedalを実行している場合、追加の懸念事項はなく、そのセキュリティに自信を持つことができます。
JPedalにセキュリティ脆弱性が発見された場合、私たちは顧客に非公開で通知し、脆弱性を公開する前に修復の機会を提供することを目指します。
当社のソフトウェアで脆弱性を発見された場合は、お問い合わせ から報告していただけます。