Standard aperto · v1.0-draft

Come appare una pipeline di contesto governata
realmente?

I CIS Benchmarks definiscono cosa sia un server rinforzato. Il Context Governance Benchmark definisce cosa sia una pipeline di contesto governata: 32 controlli misurabili e tool-neutral su 6 domini, con punteggio in quattro livelli di maturità. Citabile da team di sicurezza, acquisti e stampa — gratuito sotto CC-BY 4.0.

Leggi la specifica Auto-valutazione LeanCTX (C2)

Stato: v1.0-draft, pre-revisione. Il catalogo è pubblicato e aperto a feedback; v1.0-final richiede ≥ 3 revisori esterni nominati. Finché non accade, non citarlo come standard rilasciato — cita la bozza.

Il catalogo

32 controlli, 6 domini.

Ogni controllo stabilisce un requisito, perché è importante, un metodo di misurazione concreto e un livello. Tre livelli si costruiscono l'uno sull'altro: Basic (il pavimento dei 12 controlli), Hardened (15 controlli per dati clienti o regolamentati) e Audited (5 controlli con garanzia verificabile da terze parti).

CGB-1 · 6 controlli

Sensibilità e Redazione

Credenziali, dati personali e identificatori regolamentati non devono mai attraversare il confine di fiducia. Rilevamento, redazione e le garanzie che li circondano.

CGB-2 · 5 controlli

Provenienza e Integrità

Per qualsiasi interazione con un modello: cosa è entrato nel contesto, da dove proviene, è stato alterato? Attribuzione della fonte, divulgazione delle trasformazioni, prova di manomissione.

CGB-3 · 5 controlli

Controllo Budget e Risorse

Un prompt si espande in molte chiamate a strumenti e sub-agenti. Limiti, attribuzione e arresto del consumo incontrollato prima della fattura.

CGB-4 · 6 controlli

Audit e Prove

Le affermazioni di governance sono forti solo quanto i record che le supportano. Cosa viene registrato, come è protetto e se un terzo può verificarlo.

CGB-5 · 5 controlli

Scoping degli Accessi

A cosa può accedere un agente, su quale autorità? Confini del filesystem, dell'esecuzione di comandi, della rete e degli strumenti — assistente, non shell root non verificata.

CGB-6 · 5 controlli

Ciclo di Vita e Conservazione

Cache, store di sessione, memoria a lungo termine, conoscenza condivisa: come lo stato accumulato è delimitato, scaduto, eliminato e mantenuto onesto nel tempo.

Punteggio

Quattro livelli, nessun C0 da nascondere.

I controlli assegnano Punteggio Raggiunto (1.0), Parziale (0.5, gap descritto) o Non raggiunto (0). Il punteggio di un livello è il totale dei punti sui controlli applicabili. Il grado è la più alta soglia che il pipeline supera — al di sotto di C1 è semplicemente non valutato.

C1

Foundational

Basic ≥ 75%

C2

Managed

Base ≥ 90% e Rafforzato ≥ 50%

C3

Hardened

Base = 100%, Rafforzato ≥ 80%, Auditato ≥ 40%, ogni controllo Raggiunto collega prove

C4

Audited

Base = 100%, Rafforzato = 100%, Auditato ≥ 80%, verificato in modo indipendente

A partire da C3, ogni affermazione Raggiunto collega prove che un revisore può aprire. Da C4, la valutazione stessa è verificata in modo indipendente — le auto-valutazioni si fermano a C3 per design.

LeanCTX, valutato

Ci valutiamo da soli C2 — e mostriamo i gap.

La specifica è tool-neutrale; questa parte no. LeanCTX si auto-valuta rispetto alla bozza v1.0 a C2 — Gestito: Base 96% · Rafforzato 80% · Auditato 50%. Laddove un'affermazione non può essere verificata in modo rigoroso, il controllo viene valutato al ribasso, non all'insù.

I gap pubblicati includono CGB-1.4 (la copertura di redazione fail-closed è convenzionale, non strutturalmente provata da un gate CI) e diversi controlli a livello Auditato che attendono la verifica di terze parti. I risultati completi per controllo — inclusi ogni Parziale e Non rispettato — sono disponibili nella autovalutazione pubblica.

Valuta il tuo setup: lean-ctx policy coverage --benchmark cgb controlla staticamente il tuo pacchetto di policy risolto rispetto ai controlli testabili — fixture sintetiche, non fiducia nei nomi dei pattern.

Governance

Versionato come una specifica.

Gli ID dei controlli sono permanenti e mai riutilizzati. Le modifiche sostanziali passano attraverso un processo RFC-light con una finestra di commento di 14 giorni e dissentimento registrato. Il catalogo viene rivisto annualmente; le bozze sono sempre etichettate. Licenza: CC-BY 4.0.

Comitato di revisione — chiamata aperta. v1.0-final verrà rilasciato una volta che ≥ 3 revisori esterni nominati (specialisti in sicurezza, conformità o ingegneria delle piattaforme, senza interessi commerciali di un singolo fornitore) avranno esaminato ogni dominio. I revisori sono nominati nella specifica rilasciata. Volontari tramite un issue →

FAQ

Il benchmark, risposto.

Cos'è il Context Governance Benchmark?

Un catalogo versionato e tool-neutrale di 32 controlli misurabili su 6 domini (sensibilità e redazione, provenienza, controllo del budget, audit e prove, scoping dell'accesso, ciclo di vita e conservazione) che definisce cosa sia un pipeline context governato — come i CIS Benchmarks definiscono cosa sia un server rafforzato. Viene pubblicato sotto CC-BY 4.0 e valutato in quattro gradi di maturità, C1 a C4.

Il CGB è uno standard LeanCTX?

I manutentori di LeanCTX modificano la specifica, ma i controlli sono deliberatamente tool-neutral: nessun concetto LeanCTX appare in alcun controllo, un linter di neutralità lo impone in CI e qualsiasi pipeline vendor o interna può auto-valutarsi. LeanCTX pubblica la propria autovalutazione come documento separato — inclusi i gap.

Cosa valuta LeanCTX stesso?

Rispetto alla bozza v1.0, LeanCTX si auto-valuta a C2 — Gestito (Base 96%, Rafforzato 80%, Auditato 50%), con i gap pubblicati: tra questi, la copertura di redazione fail-closed è convenzionale piuttosto che strutturalmente provata, e diversi controlli a livello Auditato richiedono verifica da terze parti. Un punteggio auto-valutativo perfetto direbbe più sull'assessment che sul prodotto stesso.

v1.0 è definitivo?

No — la bozza v1.0 è pubblicata e aperta alla revisione. Il rilascio diventerà v1.0-final solo quando almeno tre revisori esterni nominati (specialisti in sicurezza, conformità o ingegneria delle piattaforme) avranno esaminato ogni dominio. Fino ad allora, le valutazioni devono citare lo stato di bozza. Vuoi essere un revisore? Apri un issue nel repository della specifica.

Come valuto la mia pipeline?

Clona lo spec, lavora attraverso i 32 controlli con il modello di valutazione e assegna a ciascun controllo Met, Partial, Not met o N/A utilizzando il metodo di misurazione dichiarato. Gli utenti LeanCTX possono automatizzare parte del processo: lean-ctx policy coverage --benchmark cgb verifica staticamente il pacchetto di policy risolto rispetto ai controlli testabili e stampa i risultati per controllo.

Governa lo strato che alimenta i tuoi modelli.

Leggi la spec, valuta il tuo pipeline, segnala problemi — o vedi come LeanCTX implementa i controlli localmente, gratis per sempre. CGB definisce i controlli; l'Open Context Protocol definisce il formato del wire; le mappature di conformità collegano entrambi all'EU AI Act, ISO 42001 e SOC 2.