5. セキュリティに関する考慮事項
本文書は、CBORデータ構造を表現するためのコンテンツルール言語を提示します。そのため、それ自体にセキュリティ上の問題は生じませんが、CBORを使用するプロトコルの仕様は、定義時に当然セキュリティ分析を必要とします。セキュリティに関する考慮事項を記述するための一般的なガイドラインは、[RFC3552] (BCP 72) で定義されています。CDDLを使用してプロトコル内のCBOR構造を定義する仕様は、これらのガイドラインに従う必要があります。CDDLを使用してCBOR構造を定義する仕様のセキュリティに関する考慮事項セクションで検討できる追加のトピックには、次のものがあります。
-
その言語がどこで混乱を引き起こし、セキュリティ上の問題を可能にする可能性があるか?
-
CDDLマッチャーがシステムの実装の一部である場合、システムのセキュリティは、さらなる防御なしにCDDL仕様またはCDDL実装の正確性に依存すべきではありません。
-
CDDL仕様に拡張ポイントが含まれている場合、拡張がシステムのセキュリティに与える影響を慎重に検討する必要があります。
CDDL仕様の作成者は、仕様の優雅さよりも明確さと透明性を重視することを強くお勧めします。必要なデータモデルを表現しながら、できるだけシンプルにしてください。
形式記述技法一般に関する関連する観察事項として、CDDL仕様の作成者に留意していただくことを強く推奨します。CDDLによって仕様の複雑さを扱いやすくなるからといって、その複雑さが何らかの形で悪くなくなるわけではありません(仕様を読みながら複雑な構造を把握しなければならない人間のレベルを除いて)。