खुला मानक · v1.0-draft

एक शासित संदर्भ पाइपलाइन वास्तव में कैसी दिखती है?
कैसी दिखती है?

CIS Benchmarks परिभाषित करते हैं कि एक हार्डन्ड सर्वर क्या होता है। Context Governance Benchmark परिभाषित करता है कि एक शासित संदर्भ पाइपलाइन क्या होती है: 6 डोमेन में 32 मापने योग्य, टूल-तटस्थ नियंत्रण जो चार परिपक्वता ग्रेडों में स्कोर किए जाते हैं। सुरक्षा टीमों, खरीद और प्रेस द्वारा उद्धृत किया जा सकता है — CC-BY 4.0 के तहत निःशुल्क।

विनिर्देश पढ़ें LeanCTX स्व-मूल्यांकन (C2)

स्थिति: v1.0-draft, प्री-रिव्यू। कैटलॉग प्रकाशित है और फीडबैक के लिए खुला है; v1.0-final के लिए ≥ 3 नामित बाहरी समीक्षक आवश्यक हैं। तब तक, इसे जारी मानक के रूप में उद्धृत न करें — ड्राफ्ट का हवाला दें।

कैटलॉग

32 नियंत्रण, 6 डोमेन।

प्रत्येक नियंत्रण एक आवश्यकता बताता है, यह क्यों मायने रखता है, एक ठोस माप विधि और एक स्तर। तीन स्तर एक दूसरे पर निर्मित होते हैं: बेसिक (12-नियंत्रण आधार), हार्डन्ड (ग्राहक या विनियमित डेटा के लिए 15 नियंत्रण) और ऑडिटेड (तृतीय-पक्ष सत्यापन योग्य आश्वासन के साथ 5 नियंत्रण)।

CGB-1 · 6 नियंत्रण

संवेदनशीलता और रेडैक्शन

क्रेडेंशियल्स, व्यक्तिगत डेटा और विनियमित पहचानकर्ता कभी भी ट्रस्ट बाउंड्री को पार नहीं करने चाहिए। डिटेक्शन, रेडैक्शन और उनके आसपास की गारंटी।

CGB-2 · 5 नियंत्रण

स्रोत और अखंडता (Provenance & Integrity)

किसी भी मॉडल इंटरैक्शन के लिए: संदर्भ में क्या प्रवेश किया, यह कहाँ से आया, क्या इसे बदला गया है? स्रोत एट्रीब्यूशन, ट्रांसफॉर्मेशन डिस्क्लोजर, टैम्पर एविडेंस।

CGB-3 · 5 नियंत्रण

बजट और संसाधन नियंत्रण (Budget & Resource Control)

एक प्रॉम्प्ट कई टूल कॉल और सब-एजेंट्स में फैल जाता है। सीमाएँ, एट्रीब्यूशन और बिलिंग से पहले अनियंत्रित खपत को रोकना।

CGB-4 · 6 नियंत्रण

ऑडिट और साक्ष्य (Audit & Evidence)

गवर्नेंस दावे केवल उनके पीछे के रिकॉर्ड जितने मजबूत होते हैं। क्या लॉग किया जाता है, इसे कैसे सुरक्षित रखा जाता है, और क्या कोई तीसरा पक्ष इसकी पुष्टि कर सकता है।

CGB-5 · 5 नियंत्रण

पहुँच का दायरा (Access Scoping)

एक एजेंट किस तक पहुँच सकता है, किसके अधिकार पर? फ़ाइलसिस्टम, कमांड निष्पादन, नेटवर्क और टूल-सतह की सीमाएँ — सहायक, न कि अनऑडिटेड रूट शेल।

CGB-6 · 5 नियंत्रण

जीवनचक्र और प्रतिधारण (Lifecycle & Retention)

कैशे, सेशन स्टोर, दीर्घकालिक मेमोरी, साझा ज्ञान: कैसे संचित स्थिति को सीमित, समाप्त, हटाया जाता है और समय के साथ ईमानदार रखा जाता है।

स्कोरिंग

चार ग्रेड, C0 से छिपने के लिए नहीं।

नियंत्रण स्कोर मेट (1.0), आंशिक (0.5, गैप का विवरण) या पूरा नहीं हुआ (0)। एक स्तर का स्कोर लागू नियंत्रणों पर अंक होता है। ग्रेड वह उच्चतम थ्रेशोल्ड है जिसे पाइपलाइन साफ़ करती है — C1 से नीचे यह बस बिना ग्रेड वाला होता है।

C1

Foundational

Basic ≥ 75%

C2

Managed

बेसिक ≥ 90% और हार्डीन्ड ≥ 50%

C3

Hardened

बेसिक = 100%, हार्डीन्ड ≥ 80%, ऑडिटेड ≥ 40%, हर मेट नियंत्रण साक्ष्य से जुड़ा होता है

C4

Audited

बेसिक = 100%, हार्डीन्ड = 100%, ऑडिटेड ≥ 80%, स्वतंत्र रूप से सत्यापित

C3 से ऊपर, हर Met दावे से एक साक्ष्य लिंक जुड़ा होता है जिसे कोई समीक्षक खोल सकता है। C4 से, मूल्यांकन स्वयं स्वतंत्र रूप से सत्यापित होता है — डिज़ाइन द्वारा स्व-मूल्यांकन C3 पर रुक जाते हैं।

LeanCTX, मूल्यांकित

हम खुद को ग्रेड करते हैं C2 — और गैप दिखाते हैं।

स्पेसिफिकेशन टूल-तटस्थ है; यह हिस्सा नहीं। LeanCTX v1.0-draft के विरुद्ध C2 पर स्व-मूल्यांकन करता है — प्रबंधित: बेसिक 96% · हार्डन्ड 80% · ऑडिटेड 50%। जहाँ किसी दावे को कठोरता से सत्यापित नहीं किया जा सका, वहाँ नियंत्रण ग्रेड कम होता है, ऊपर नहीं।

प्रकाशित गैप में CGB-1.4 (फेल-क्लोज्ड रेडैक्शन कवरेज एक सामान्य अभ्यास है, CI गेट द्वारा संरचनात्मक रूप से सिद्ध नहीं) और कई ऑडिटेड-स्तर के नियंत्रण शामिल हैं जिनके लिए तीसरे पक्ष के सत्यापन की प्रतीक्षा है। पूर्ण प्रति-नियंत्रण निष्कर्ष — जिसमें हर आंशिक और पूरा नहीं हुआ शामिल है — सार्वजनिक स्व-मूल्यांकन में हैं।

अपने सेटअप का मूल्यांकन करें: lean-ctx policy coverage --benchmark cgb टेस्टेबल नियंत्रणों के विरुद्ध आपके हल किए गए पॉलिसी पैक की सांख्यिकीय रूप से जाँच करता है — पैटर्न-नाम विश्वास नहीं, सिंथेटिक फिक्स्चर।

Governance

संस्करणयुक्त एक स्पेसिफिकेशन की तरह।

नियंत्रण आईडी स्थायी होती हैं और कभी पुन: उपयोग नहीं की जातीं। ठोस बदलाव एक RFC-लाइट प्रक्रिया से गुजरते हैं जिसमें 14 दिन की टिप्पणी विंडो और दर्ज असहमति शामिल है। कैटलॉग का वार्षिक रूप से संशोधन किया जाता है; ड्राफ्ट को हमेशा लेबल किया जाता है। लाइसेंस: CC-BY 4.0।

समीक्षा बोर्ड — खुला आमंत्रण। v1.0-final तब शिप होता है जब ≥ 3 नामित बाहरी समीक्षक (सुरक्षा, अनुपालन या प्लेटफॉर्म-इंजीनियरिंग पेशेवर, कोई एकल-विक्रेता वाणिज्यिक हित नहीं) हर डोमेन पर काम कर चुके होते हैं। समीक्षकों का नाम जारी किए गए स्पेसिफिकेशन पर होता है। एक इश्यू के माध्यम से स्वयंसेवक बनें →

FAQ

बेन्चमार्क, उत्तर दिया गया।

कॉन्टेक्स्ट गवर्नेंस बेंचमार्क क्या है?

6 डोमेन (संवेदनशीलता और रेडैक्शन, प्रोवेनेंस, बजट नियंत्रण, ऑडिट और साक्ष्य, एक्सेस स्कोपिंग, लाइफसाइकिल और रिटेंशन) में 32 मापने योग्य नियंत्रणों का एक संस्करणयुक्त, टूल-तटस्थ कैटलॉग जो परिभाषित करता है कि एक शासित कॉन्टेक्स्ट पाइपलाइन क्या है — जिस तरह CIS बेंचमार्क परिभाषित करते हैं कि एक हार्डन्ड सर्वर क्या है। यह CC-BY 4.0 के तहत प्रकाशित किया जाता है और चार परिपक्वता ग्रेडों, C1 से C4 में स्कोर किया जाता है।

क्या CGB एक LeanCTX मानक है?

LeanCTX अनुरक्षक स्पेसिफिकेशन को संपादित करते हैं, लेकिन नियंत्रण जानबूझकर टूल-तटस्थ होते हैं: किसी भी नियंत्रण में कोई LeanCTX अवधारणा दिखाई नहीं देती है, एक तटस्थता लिनटर इसे CI में लागू करता है, और कोई भी विक्रेता या इन-हाउस पाइपलाइन स्व-मूल्यांकन कर सकती है। LeanCTX गैप सहित अपने स्वयं के स्व-मूल्यांकन को एक अलग दस्तावेज़ के रूप में प्रकाशित करता है।

LeanCTX खुद क्या स्कोर करता है?

v1.0-draft के विरुद्ध, LeanCTX C2 पर स्व-मूल्यांकन करता है — प्रबंधित (बेसिक 96%, हार्डन्ड 80%, ऑडिटेड 50%), जिसमें गैप प्रकाशित हैं: उनमें से, फेल-क्लोज्ड रेडैक्शन कवरेज संरचनात्मक रूप से सिद्ध होने के बजाय एक सामान्य अभ्यास है, और कई ऑडिटेड-स्तर के नियंत्रणों को तीसरे पक्ष के सत्यापन की आवश्यकता होती है। एक आदर्श स्व-स्कोर मूल्यांकन के बारे में कहने से अधिक मूल्यांकन के बारे में होगा।

क्या v1.0 अंतिम है?

नहीं — v1.0-draft प्रकाशित है और समीक्षा के लिए खुला है। रिलीज़ तब v1.0-final बन जाती है जब कम से कम तीन नामित बाहरी समीक्षकों (सुरक्षा, अनुपालन या प्लेटफॉर्म-इंजीनियरिंग पेशेवर) ने हर डोमेन पर काम किया होता है। तब तक, मूल्यांकन को ड्राफ्ट स्थिति का हवाला देना चाहिए। क्या आप एक समीक्षक बनना चाहते हैं? स्पेसिफिकेशन रिपॉजिटरी में एक इश्यू खोलें।

मैं अपने पाइपलाइन का आकलन कैसे करूं?

स्पेसिफिकेशन को क्लोन करें, मूल्यांकन टेम्पलेट के साथ 32 कंट्रोल्स पर काम करें, और प्रत्येक कंट्रोल को उसकी बताई गई माप विधि का उपयोग करके Met, Partial, Not met या N/A ग्रेड दें। LeanCTX उपयोगकर्ता इसका कुछ हिस्सा स्वचालित कर सकते हैं: lean-ctx policy coverage --benchmark cgb स्टेटिक रूप से हल किए गए पॉलिसी पैक की जांच करने के लिए करती है बनाम परीक्षण योग्य कंट्रोल्स और प्रति-कंट्रोल परिणाम प्रिंट करती है।

अपने मॉडलों को फीड करने वाली लेयर पर शासन करें।

स्पेसिफिकेशन पढ़ें, अपने पाइपलाइन का आकलन करें, मुद्दे फ़ाइल करें — या देखें कि LeanCTX स्थानीय रूप से, हमेशा के लिए कैसे नियंत्रण लागू करता है। CGB नियंत्रण परिभाषित करता है; ओपन कॉन्टेक्स्ट प्रोटोकॉल वायर फॉर्मेट को परिभाषित करता है; अनुपालन मैपिंग दोनों को EU AI Act, ISO 42001 और SOC 2 से जोड़ती है।