Standar terbuka · v1.0-draft

Seperti apa pipeline konteks yang ditata kelola
sebenarnya?

CIS Benchmarks mendefinisikan apa itu server yang diperkuat. Context Governance Benchmark mendefinisikan apa itu pipeline konteks yang ditata kelola: 32 kontrol terukur, netral alat di 6 domain, diskor menjadi empat tingkat kematangan. Dapat dikutip oleh tim keamanan, pengadaan, dan pers — gratis di bawah CC-BY 4.0.

Baca spesifikasi Penilaian mandiri LeanCTX (C2)

Status: v1.0-draft, pra-ulasan. Katalog ini telah diterbitkan dan terbuka untuk masukan; v1.0-final memerlukan ≥ 3 peninjau eksternal bernama. Sampai saat itu, jangan kutip sebagai standar yang dirilis — kutip drafnya.

Katalog

32 kontrol, 6 domain.

Setiap kontrol menyatakan persyaratan, mengapa hal itu penting, metode pengukuran konkret, dan tingkat. Tiga tingkat saling membangun: Dasar (lantai 12 kontrol), Diperkuat (15 kontrol untuk data pelanggan atau yang diatur) dan Diaudit (5 kontrol dengan jaminan yang dapat diverifikasi pihak ketiga).

CGB-1 · 6 kontrol

Sensitivitas & Redaksi

Kredensial, data pribadi dan pengidentifikasi teregulasi tidak boleh melintasi batas kepercayaan. Deteksi, redaksi, dan jaminan di sekitarnya.

CGB-2 · 5 kontrol

Asal & Integritas

Untuk setiap interaksi model: apa yang masuk ke konteks, dari mana asalnya, apakah telah diubah? Atribusi sumber, pengungkapan transformasi, bukti manipulasi.

CGB-3 · 5 kontrol

Anggaran & Kontrol Sumber Daya

Satu prompt menyebar menjadi banyak panggilan alat dan sub-agen. Batasan, atribusi, dan menghentikan konsumsi yang tak terkendali sebelum faktur.

CGB-4 · 6 kontrol

Audit & Bukti

Klaim tata kelola hanya sekuat catatan di baliknya. Apa yang dicatat, bagaimana itu dilindungi, dan apakah pihak ketiga dapat memverifikasinya.

CGB-5 · 5 kontrol

Pembatasan Akses

Apa yang boleh dijangkau oleh agen, atas otoritas siapa? Batas sistem file, eksekusi perintah, jaringan, dan permukaan alat — asisten, bukan shell root yang diaudit.

CGB-6 · 5 kontrol

Siklus Hidup & Retensi

Cache, penyimpanan sesi, memori jangka panjang, pengetahuan bersama: bagaimana keadaan terakumulasi dibatasi, kedaluwarsa, dihapus, dan dijaga kejujurannya dari waktu ke waktu.

Skoring

Empat tingkatan, tidak ada C0 untuk bersembunyi.

Kontrol skor Dipenuhi (1.0), Parsial (0.5, kesenjangan dijelaskan) atau Tidak dipenuhi (0). Skor suatu tingkat adalah poin di atas kontrol yang berlaku. Tingkatnya adalah ambang batas tertinggi yang dilewati pipeline — di bawah C1 hanya diberi peringkat tidak.

C1

Foundational

Basic ≥ 75%

C2

Managed

Dasar ≥ 90% dan Diperkuat ≥ 50%

C3

Hardened

Dasar = 100%, Diperkuat ≥ 80%, Diaudit ≥ 40%, setiap kontrol Dipenuhi terkait bukti

C4

Audited

Dasar = 100%, Diperkuat = 100%, Diaudit ≥ 80%, diverifikasi secara independen

Mulai dari C3 ke atas, setiap klaim Dipenuhi terkait bukti yang dapat dibuka oleh peninjau. Dari C4, penilaian itu sendiri diverifikasi secara independen — penilaian mandiri berhenti di C3 berdasarkan desain.

LeanCTX, dinilai

Kami menilai diri kami sendiri C2 — dan menunjukkan kesenjangan.

Spesifikasi ini netral terhadap alat; bagian ini tidak. LeanCTX menilai diri sendiri berdasarkan draf v1.0 pada C2 — Dikelola: Dasar 96% · Diperkuat 80% · Diaudit 50%. Jika klaim tidak dapat diverifikasi secara ketat, kontrol akan dinilai turun, bukan naik.

Kesenjangan yang dipublikasikan meliputi CGB-1.4 (cakupan redaksi fail-closed adalah konvensional, bukan terbukti secara struktural oleh gerbang CI) dan beberapa kontrol tingkat Audited yang menunggu verifikasi pihak ketiga. Temuan lengkap per kontrol — termasuk setiap Partial dan Tidak terpenuhi — ada di penilaian mandiri publik.

Nilai pengaturan Anda sendiri: lean-ctx policy coverage --benchmark cgb secara statis memeriksa paket kebijakan yang diselesaikan Anda terhadap kontrol yang dapat diuji — fixture sintetis, bukan kepercayaan nama pola.

Governance

Versi seperti spesifikasi.

ID Kontrol bersifat permanen dan tidak pernah digunakan kembali. Perubahan substansial melalui proses RFC-ringan dengan jendela komentar 14 hari dan keberatan yang dicatat. Katalog direvisi setiap tahun; draf selalu diberi label. Lisensi: CC-BY 4.0.

Dewan peninjau — panggilan terbuka. v1.0-final dikirim setelah ≥ 3 peninjau eksternal bernama (praktisi keamanan, kepatuhan, atau teknik platform, tanpa kepentingan komersial vendor tunggal) telah mengerjakan setiap domain. Peninjau disebutkan pada spesifikasi yang dirilis. Sukarelawan melalui isu →

FAQ

Benchmark, dijawab.

Apa itu Context Governance Benchmark?

Katalog versi dan netral terhadap alat yang berisi 32 kontrol terukur di 6 domain (sensitivitas & redaksi, asal-usul, kontrol anggaran, audit & bukti, cakupan akses, siklus hidup & retensi) yang mendefinisikan apa itu pipeline konteks yang dikelola — seperti cara CIS Benchmarks mendefinisikan apa itu server yang diperkuat. Ini dipublikasikan di bawah CC-BY 4.0 dan diberi skor menjadi empat tingkat kematangan, C1 hingga C4.

Apakah CGB adalah standar LeanCTX?

Pemelihara LeanCTX mengedit spesifikasi, tetapi kontrolnya sengaja netral terhadap alat: tidak ada konsep LeanCTX yang muncul di kontrol mana pun, linter netralitas menegakkannya di CI, dan setiap vendor atau pipeline internal dapat menilai diri sendiri. LeanCTX menerbitkan penilaian mandiri sendiri sebagai dokumen terpisah — termasuk kesenjangannya.

Apa yang dinilai oleh LeanCTX itu sendiri?

Terhadap draf v1.0, LeanCTX menilai diri sendiri pada C2 — Dikelola (Dasar 96%, Diperkuat 80%, Diaudit 50%), dengan kesenjangan yang dipublikasikan: di antaranya, cakupan redaksi fail-closed adalah konvensional daripada terbukti secara struktural, dan beberapa kontrol tingkat Audited memerlukan verifikasi pihak ketiga. Skor mandiri yang sempurna akan lebih banyak berbicara tentang penilaian daripada tentang produk.

Apakah v1.0 final?

Tidak — draf v1.0 dipublikasikan dan terbuka untuk ditinjau. Rilis menjadi v1.0-final setelah setidaknya tiga peninjau eksternal bernama (praktisi keamanan, kepatuhan atau teknik platform) telah mengerjakan setiap domain. Sampai saat itu, penilaian harus mencantumkan status draf. Ingin menjadi peninjau? Buka isu di repositori spesifikasi.

Bagaimana cara saya menilai pipeline saya sendiri?

Kloning spesifikasi, kerjakan 32 kontrol dengan templat penilaian, dan nilai setiap kontrol sebagai Met, Partial, Tidak terpenuhi, atau N/A menggunakan metode pengukuran yang dinyatakan. Pengguna LeanCTX dapat mengotomatisasi sebagian darinya: lean-ctx policy coverage --benchmark cgb secara statis memeriksa paket kebijakan yang diselesaikan terhadap kontrol yang dapat diuji dan mencetak hasil per-kontrol.

Kelola lapisan yang memberi makan model Anda.

Baca spesifikasi, nilai alur kerja Anda, laporkan masalah — atau lihat bagaimana LeanCTX mengimplementasikan kontrol secara lokal, gratis selamanya. CGB mendefinisikan kontrol; Open Context Protocol mendefinisikan format kabel; pemetaan kepatuhan menghubungkan keduanya ke EU AI Act, ISO 42001 dan SOC 2.