脅威モデル

M0の保護対象

• ローカル端末上のファイルと個人情報。
• プロジェクト設定と将来保存される .motion2dproj。
• Tauri WebViewとRustバックエンドの権限境界。

M0の攻撃面

• フロントエンド依存関係のサプライチェーン。
• Tauri設定のCSP緩和。
• capabilityの過剰付与。
• 開発サーバー経由のファイル参照。

M0の対策

• 依存関係はバージョン固定し、導入前レビューを記録する。
• Viteは既知CVE修正版以上を使い、開発サーバーは 127.0.0.1 に限定する。
• CSPは unsafe-eval を禁止する。
• capabilityは core:default のみにし、ファイル/カメラ/マイク権限を付与しない。
• 顔トラッキング用ランタイムとモデルは採用ゲート完了まで入れない。

M1以降の主な脅威

• 偽装拡張子や偽装MIMEによる不正ファイル読込。
• 巨大画像や壊れた画像によるメモリ消費。
• プロジェクト読み込み時の巨大JSONや不正スキーマ。
• ZIP形式を採用した場合のZip Slipと展開爆弾。