CGB-1 · 6 নিয়ন্ত্রণগুলি
সংবেদনশীলতা ও রেডাকশন
Credentials, ব্যক্তিগত ডেটা এবং নিয়ন্ত্রিত শনাক্তকারীকে কখনই ট্রাস্ট সীমানা অতিক্রম করা উচিত নয়। সনাক্তকরণ, redaction এবং এর চারপাশের নিশ্চয়তা।
CIS Benchmarks সংজ্ঞায়িত করে যে একটি হার্ডেনড সার্ভার কী। Context Governance Benchmark সংজ্ঞায়িত করে যে একটি নিয়ন্ত্রিত কনটেক্সট পাইপলাইন কী: 6টি ডোমেনের জুড়ে 32 পরিমাপযোগ্য, টুল-নিরপেক্ষ নিয়ন্ত্রণ, যা চারটি ম্যাচুরিটি গ্রেডে স্কোর করা হয়েছে। নিরাপত্তা দল, সংগ্রহ এবং প্রেস দ্বারা উদ্ধৃত করা যায় — CC-BY 4.0 এর অধীনে বিনামূল্যে।
স্থিতি: v1.0-draft, প্রি-রিভিউ। ক্যাটালগটি প্রকাশিত এবং প্রতিক্রিয়ার জন্য উন্মুক্ত; v1.0-final এর জন্য ≥ 3 জন নামী বাহ্যিক পর্যালোচকের প্রয়োজন। না হওয়া পর্যন্ত, এটিকে একটি রিলিজড স্ট্যান্ডার্ড হিসাবে উদ্ধৃত করবেন না — ড্রাফ্টটিকে উদ্ধৃত করুন।
প্রতিটি নিয়ন্ত্রণ একটি প্রয়োজনীয়তা, এটি কেন গুরুত্বপূর্ণ, একটি নির্দিষ্ট পরিমাপ পদ্ধতি এবং একটি স্তর বর্ণনা করে। তিনটি স্তর একে অপরের উপর ভিত্তি করে তৈরি: বেসিক (১২-নিয়ন্ত্রণের ভিত্তি), হার্ডেনড (গ্রাহক বা নিয়ন্ত্রিত ডেটার জন্য ১৫ টি নিয়ন্ত্রণ) এবং অডিটেড (তৃতীয় পক্ষ দ্বারা যাচাইযোগ্য নিশ্চয়তার সাথে ৫টি নিয়ন্ত্রণ)।
CGB-1 · 6 নিয়ন্ত্রণগুলি
Credentials, ব্যক্তিগত ডেটা এবং নিয়ন্ত্রিত শনাক্তকারীকে কখনই ট্রাস্ট সীমানা অতিক্রম করা উচিত নয়। সনাক্তকরণ, redaction এবং এর চারপাশের নিশ্চয়তা।
CGB-2 · 5 নিয়ন্ত্রণগুলি
যেকোনো মডেল ইন্টারঅ্যাকশনের জন্য: কী কনটেক্স্টে প্রবেশ করেছে, কোথা থেকে এসেছে, এটি কি পরিবর্তিত হয়েছে? উৎস অ্যাট্রিবিউশন, রূপান্তর প্রকাশ, টেম্পার প্রমাণ।
CGB-3 · 5 নিয়ন্ত্রণগুলি
একটি প্রম্পট অনেক টুল কল এবং সাব-এজেন্টের মধ্যে ছড়িয়ে পড়ে। সীমা, অ্যাট্রিবিউশন এবং ইনভয়েস করার আগে লাগামছাড়া ব্যবহার বন্ধ করা।
CGB-4 · 6 নিয়ন্ত্রণগুলি
শাসন দাবিগুলি কেবল তাদের পেছনের রেকর্ডের মতোই শক্তিশালী। কী লগ হয়, কীভাবে এটি সুরক্ষিত থাকে, এবং তৃতীয় পক্ষ কি তা যাচাই করতে পারে।
CGB-5 · 5 নিয়ন্ত্রণগুলি
একটি এজেন্ট কী অ্যাক্সেস করতে পারে, কার কর্তৃত্বের উপর? ফাইলসিস্টেম, কমান্ড এক্সিকিউশন, নেটওয়ার্ক এবং টুল-সারফেস সীমানা — সহকারী, কোনো অডিট করা রুট শেল নয়।
CGB-6 · 5 নিয়ন্ত্রণগুলি
ক্যাশ, সেশন স্টোর, দীর্ঘমেয়াদী মেমরি, ভাগ করে নেওয়া জ্ঞান: কীভাবে সঞ্চিত অবস্থা সীমাবদ্ধ, মেয়াদোত্তীর্ণ, মুছে ফেলা এবং সময়ের সাথে সৎ রাখা হয়।
কন্ট্রোল স্কোর মেট (1.0), আংশিক (0.5, ফাঁক বর্ণনা করা হয়েছে) বা পূরণ হয়নি (0)। একটি স্তরের স্কোর প্রযোজ্য নিয়ন্ত্রণের উপর পয়েন্ট। গ্রেড হল সর্বোচ্চ থ্রেশহোল্ড যা পাইপলাইন অতিক্রম করে — C1 এর নিচে এটি কেবল ungraded।
Foundational
Basic ≥ 75%
Managed
বেসিক ≥ ৯০% এবং হার্ডেনড ≥ ৫০%
Hardened
বেসিক = ১০০%, হার্ডেনড ≥ ৮০%, অডিটেড ≥ ৪০%, প্রতিটি মেট কন্ট্রোল প্রমাণ লিঙ্ক করে
Audited
বেসিক = ১০০%, হার্ডেনড = ১০০%, অডিটেড ≥ ৮০%, স্বাধীনভাবে যাচাইকৃত
C3 থেকে উপরে, প্রতিটি Met দাবি একটি প্রমাণ লিঙ্কে করে যা একজন পর্যালোচক খুলতে পারে। C4 থেকে, মূল্যায়নটি নিজেই স্বাধীনভাবে যাচাই করা হয় — ডিজাইন অনুযায়ী স্ব-মূল্যায়নগুলি C3 এ থেমে যায়।
স্পেকটি টুল-নিরপেক্ষ; এই অংশটি নয়। LeanCTX নিজে v1.0-draft এর বিপরীতে C2 — Managed: Basic 96% · Hardened 80% · Audited 50% এ মূল্যায়ন করে। যেখানে কোনো দাবি শক্তভাবে যাচাই করা যায়নি, সেখানে নিয়ন্ত্রণকে কম গ্রেড দেওয়া হয়, বাড়ানো নয়।
প্রকাশিত ফাঁকগুলির মধ্যে রয়েছে CGB-1.4 (fail-closed redaction coverage একটি প্রচলিত বিষয়, যা CI গেট দ্বারা কাঠামোগতভাবে প্রমাণিত নয়) এবং বেশ কয়েকটি Audited-স্তরের নিয়ন্ত্রণ যা তৃতীয় পক্ষের যাচাইকরণের অপেক্ষায়। প্রতিটি নিয়ন্ত্রণের সম্পূর্ণ ফলাফল — প্রতিটি Partial এবং Not met সহ — পাবলিক স্ব-মূল্যায়নে পাওয়া যায়।
আপনার নিজস্ব সেটআপ মূল্যায়ন করুন: lean-ctx policy coverage --benchmark cgb স্ট্যাটিক্যালি আপনার সমাধান করা পলিসি প্যাকটিকে পরীক্ষামূলক নিয়ন্ত্রণের বিরুদ্ধে পরীক্ষা করে — প্যাটার্ন-নাম ট্রাস্ট নয়, সিনথেটিক ফিক্সচার।
কন্ট্রোল আইডিগুলি স্থায়ী এবং কখনও পুনরায় ব্যবহার করা হয় না। মৌলিক পরিবর্তনগুলির জন্য একটি RFC-light প্রক্রিয়া অনুসরণ করতে হয় যেখানে ১৪ দিনের মন্তব্য উইন্ডো এবং রেকর্ড করা ভিন্নমত থাকে। ক্যাটালগটি বার্ষিকভাবে সংশোধন করা হয়; খসড়াগুলিকে সর্বদা লেবেল করা হয়। লাইসেন্স: CC-BY 4.0।
পর্যালোচনা বোর্ড — উন্মুক্ত আহ্বান। v1.0-final তখনই প্রকাশিত হবে যখন ≥ ৩ জন নামী বাহ্যিক পর্যালোচক (নিরাপত্তা, সম্মতি বা প্ল্যাটফর্ম-ইঞ্জিনিয়ারিং অনুশীলনকারী, কোনো একক-বিক্রেতা বাণিজ্যিক স্বার্থ নয়) প্রতিটি ডোমেন নিয়ে কাজ করবেন। প্রকাশিত স্পেকে পর্যালোচকদের নাম দেওয়া হয়। একটি ইস্যু দিয়ে স্বেচ্ছাসেবক হন →
এটি একটি সংস্করণযুক্ত, টুল-নিরপেক্ষ ক্যাটালগ যা ৬টি ডোমেনে ৩২টি পরিমাপযোগ্য নিয়ন্ত্রণ সংজ্ঞায়িত করে (সংবেদনশীলতা ও redaction, উৎস, বাজেট নিয়ন্ত্রণ, অডিট ও প্রমাণ, অ্যাক্সেস স্কোপিং, জীবনচক্র ও ধারণ) — যা নির্ধারণ করে যে একটি নিয়ন্ত্রিত context পাইপলাইন কী। এটি যেভাবে CIS Benchmarks একটি হার্ডেনড সার্ভারকে সংজ্ঞায়িত করে। এটি CC-BY 4.0 এর অধীনে প্রকাশিত এবং চারটি পরিপক্কতা গ্রেডে স্কোর করা হয়, C1 থেকে C4।
LeanCTX রক্ষণাবেক্ষণকারীরা স্পেকটি সম্পাদনা করেন, তবে নিয়ন্ত্রণগুলি ইচ্ছাকৃতভাবে টুল-নিরপেক্ষ: কোনো নিয়ন্ত্রণেই LeanCTX ধারণা দেখা যায় না, একটি নিরপেক্ষতা লিন্টার এটি CI-তে প্রয়োগ করে, এবং যেকোনো বিক্রেতা বা ইন-হাউস পাইপলাইন স্ব-মূল্যায়ন করতে পারে। LeanCTX নিজস্ব স্ব-মূল্যায়ন একটি পৃথক নথিতে প্রকাশ করে — ফাঁকগুলি সহ।
v1.0-draft এর বিপরীতে, LeanCTX নিজেকে C2 — Managed (Basic 96%, Hardened 80%, Audited 50%) হিসাবে স্ব-মূল্যায়ন করে, ফাঁকগুলি প্রকাশ করা হয়েছে: তাদের মধ্যে, fail-closed redaction কভারেজ কাঠামোগতভাবে প্রমাণিত হওয়ার চেয়ে প্রচলিত এবং বেশ কয়েকটি Audited-level নিয়ন্ত্রণের জন্য তৃতীয় পক্ষের যাচাইকরণের প্রয়োজন। একটি নিখুঁত স্ব-স্কোর মূল্যায়ন সম্পর্কে আরও বলে না বরং পণ্য সম্পর্কে বলে।
না — v1.0-draft প্রকাশিত এবং পর্যালোচনার জন্য উন্মুক্ত। যখন অন্তত তিনজন নামকরা বাহ্যিক পর্যালোচক (নিরাপত্তা, সম্মতি বা প্ল্যাটফর্ম-engineering অনুশীলনকারী) প্রতিটি ডোমেন নিয়ে কাজ করবেন তখন রিলিজটি v1.0-final হয়। ততক্ষণ পর্যন্ত, মূল্যায়নে ড্রাফ্ট স্থিতি উল্লেখ করতে হবে। আপনি কি একজন পর্যালোচক হতে চান? স্পেক রিপোজিটরিতে একটি ইস্যু খুলুন।
স্পেকটি ক্লোন করুন, অ্যাসেসমেন্ট টেমপ্লেট ব্যবহার করে ৩২টি নিয়ন্ত্রণের মধ্য দিয়ে যান, এবং এর ঘোষিত পরিমাপ পদ্ধতি ব্যবহার করে প্রতিটি নিয়ন্ত্রণকে Met, Partial, Not met বা N/A গ্রেড দিন। LeanCTX ব্যবহারকারীরা এর কিছু অংশ স্বয়ংক্রিয় করতে পারে: lean-ctx policy coverage --benchmark cgb স্ট্যাটিক্যালি রেজলভ করা পলিসি প্যাকটিকে পরীক্ষাযোগ্য নিয়ন্ত্রণের বিরুদ্ধে পরীক্ষা করে এবং প্রতি-নিয়ন্ত্রণ ফলাফল প্রিন্ট করে।
স্পেকটি পড়ুন, আপনার পাইপলাইন মূল্যায়ন করুন, সমস্যা ফাইল করুন — অথবা দেখুন কিভাবে LeanCTX স্থানীয়ভাবে, চিরতরে নিয়ন্ত্রণগুলি প্রয়োগ করে। CGB নিয়ন্ত্রণ সংজ্ঞায়িত করে; Open Context Protocol ওয়্যার ফরম্যাটকে সংজ্ঞায়িত করে; কমপ্লায়েন্স ম্যাপিংগুলি উভয়কেই EU AI Act, ISO 42001 এবং SOC 2 এর সাথে সংযুক্ত করে।