CGB-1 · 6 kontrol
Sensitivitas & Redaksi
Kredensial, data pribadi dan pengidentifikasi teregulasi tidak boleh melintasi batas kepercayaan. Deteksi, redaksi, dan jaminan di sekitarnya.
CIS Benchmarks mendefinisikan apa itu server yang diperkuat. Context Governance Benchmark mendefinisikan apa itu pipeline konteks yang ditata kelola: 32 kontrol terukur, netral alat di 6 domain, diskor menjadi empat tingkat kematangan. Dapat dikutip oleh tim keamanan, pengadaan, dan pers — gratis di bawah CC-BY 4.0.
Status: v1.0-draft, pra-ulasan. Katalog ini telah diterbitkan dan terbuka untuk masukan; v1.0-final memerlukan ≥ 3 peninjau eksternal bernama. Sampai saat itu, jangan kutip sebagai standar yang dirilis — kutip drafnya.
Setiap kontrol menyatakan persyaratan, mengapa hal itu penting, metode pengukuran konkret, dan tingkat. Tiga tingkat saling membangun: Dasar (lantai 12 kontrol), Diperkuat (15 kontrol untuk data pelanggan atau yang diatur) dan Diaudit (5 kontrol dengan jaminan yang dapat diverifikasi pihak ketiga).
CGB-1 · 6 kontrol
Kredensial, data pribadi dan pengidentifikasi teregulasi tidak boleh melintasi batas kepercayaan. Deteksi, redaksi, dan jaminan di sekitarnya.
CGB-2 · 5 kontrol
Untuk setiap interaksi model: apa yang masuk ke konteks, dari mana asalnya, apakah telah diubah? Atribusi sumber, pengungkapan transformasi, bukti manipulasi.
CGB-3 · 5 kontrol
Satu prompt menyebar menjadi banyak panggilan alat dan sub-agen. Batasan, atribusi, dan menghentikan konsumsi yang tak terkendali sebelum faktur.
CGB-4 · 6 kontrol
Klaim tata kelola hanya sekuat catatan di baliknya. Apa yang dicatat, bagaimana itu dilindungi, dan apakah pihak ketiga dapat memverifikasinya.
CGB-5 · 5 kontrol
Apa yang boleh dijangkau oleh agen, atas otoritas siapa? Batas sistem file, eksekusi perintah, jaringan, dan permukaan alat — asisten, bukan shell root yang diaudit.
CGB-6 · 5 kontrol
Cache, penyimpanan sesi, memori jangka panjang, pengetahuan bersama: bagaimana keadaan terakumulasi dibatasi, kedaluwarsa, dihapus, dan dijaga kejujurannya dari waktu ke waktu.
Kontrol skor Dipenuhi (1.0), Parsial (0.5, kesenjangan dijelaskan) atau Tidak dipenuhi (0). Skor suatu tingkat adalah poin di atas kontrol yang berlaku. Tingkatnya adalah ambang batas tertinggi yang dilewati pipeline — di bawah C1 hanya diberi peringkat tidak.
Foundational
Basic ≥ 75%
Managed
Dasar ≥ 90% dan Diperkuat ≥ 50%
Hardened
Dasar = 100%, Diperkuat ≥ 80%, Diaudit ≥ 40%, setiap kontrol Dipenuhi terkait bukti
Audited
Dasar = 100%, Diperkuat = 100%, Diaudit ≥ 80%, diverifikasi secara independen
Mulai dari C3 ke atas, setiap klaim Dipenuhi terkait bukti yang dapat dibuka oleh peninjau. Dari C4, penilaian itu sendiri diverifikasi secara independen — penilaian mandiri berhenti di C3 berdasarkan desain.
Spesifikasi ini netral terhadap alat; bagian ini tidak. LeanCTX menilai diri sendiri berdasarkan draf v1.0 pada C2 — Dikelola: Dasar 96% · Diperkuat 80% · Diaudit 50%. Jika klaim tidak dapat diverifikasi secara ketat, kontrol akan dinilai turun, bukan naik.
Kesenjangan yang dipublikasikan meliputi CGB-1.4 (cakupan redaksi fail-closed adalah konvensional, bukan terbukti secara struktural oleh gerbang CI) dan beberapa kontrol tingkat Audited yang menunggu verifikasi pihak ketiga. Temuan lengkap per kontrol — termasuk setiap Partial dan Tidak terpenuhi — ada di penilaian mandiri publik.
Nilai pengaturan Anda sendiri: lean-ctx policy coverage --benchmark cgb secara statis memeriksa paket kebijakan yang diselesaikan Anda terhadap kontrol yang dapat diuji — fixture sintetis, bukan kepercayaan nama pola.
ID Kontrol bersifat permanen dan tidak pernah digunakan kembali. Perubahan substansial melalui proses RFC-ringan dengan jendela komentar 14 hari dan keberatan yang dicatat. Katalog direvisi setiap tahun; draf selalu diberi label. Lisensi: CC-BY 4.0.
Dewan peninjau — panggilan terbuka. v1.0-final dikirim setelah ≥ 3 peninjau eksternal bernama (praktisi keamanan, kepatuhan, atau teknik platform, tanpa kepentingan komersial vendor tunggal) telah mengerjakan setiap domain. Peninjau disebutkan pada spesifikasi yang dirilis. Sukarelawan melalui isu →
Katalog versi dan netral terhadap alat yang berisi 32 kontrol terukur di 6 domain (sensitivitas & redaksi, asal-usul, kontrol anggaran, audit & bukti, cakupan akses, siklus hidup & retensi) yang mendefinisikan apa itu pipeline konteks yang dikelola — seperti cara CIS Benchmarks mendefinisikan apa itu server yang diperkuat. Ini dipublikasikan di bawah CC-BY 4.0 dan diberi skor menjadi empat tingkat kematangan, C1 hingga C4.
Pemelihara LeanCTX mengedit spesifikasi, tetapi kontrolnya sengaja netral terhadap alat: tidak ada konsep LeanCTX yang muncul di kontrol mana pun, linter netralitas menegakkannya di CI, dan setiap vendor atau pipeline internal dapat menilai diri sendiri. LeanCTX menerbitkan penilaian mandiri sendiri sebagai dokumen terpisah — termasuk kesenjangannya.
Terhadap draf v1.0, LeanCTX menilai diri sendiri pada C2 — Dikelola (Dasar 96%, Diperkuat 80%, Diaudit 50%), dengan kesenjangan yang dipublikasikan: di antaranya, cakupan redaksi fail-closed adalah konvensional daripada terbukti secara struktural, dan beberapa kontrol tingkat Audited memerlukan verifikasi pihak ketiga. Skor mandiri yang sempurna akan lebih banyak berbicara tentang penilaian daripada tentang produk.
Tidak — draf v1.0 dipublikasikan dan terbuka untuk ditinjau. Rilis menjadi v1.0-final setelah setidaknya tiga peninjau eksternal bernama (praktisi keamanan, kepatuhan atau teknik platform) telah mengerjakan setiap domain. Sampai saat itu, penilaian harus mencantumkan status draf. Ingin menjadi peninjau? Buka isu di repositori spesifikasi.
Kloning spesifikasi, kerjakan 32 kontrol dengan templat penilaian, dan nilai setiap kontrol sebagai Met, Partial, Tidak terpenuhi, atau N/A menggunakan metode pengukuran yang dinyatakan. Pengguna LeanCTX dapat mengotomatisasi sebagian darinya: lean-ctx policy coverage --benchmark cgb secara statis memeriksa paket kebijakan yang diselesaikan terhadap kontrol yang dapat diuji dan mencetak hasil per-kontrol.
Baca spesifikasi, nilai alur kerja Anda, laporkan masalah — atau lihat bagaimana LeanCTX mengimplementasikan kontrol secara lokal, gratis selamanya. CGB mendefinisikan kontrol; Open Context Protocol mendefinisikan format kabel; pemetaan kepatuhan menghubungkan keduanya ke EU AI Act, ISO 42001 dan SOC 2.