CGB-1 · 6 controlli
Sensibilità e Redazione
Credenziali, dati personali e identificatori regolamentati non devono mai attraversare il confine di fiducia. Rilevamento, redazione e le garanzie che li circondano.
I CIS Benchmarks definiscono cosa sia un server rinforzato. Il Context Governance Benchmark definisce cosa sia una pipeline di contesto governata: 32 controlli misurabili e tool-neutral su 6 domini, con punteggio in quattro livelli di maturità. Citabile da team di sicurezza, acquisti e stampa — gratuito sotto CC-BY 4.0.
Stato: v1.0-draft, pre-revisione. Il catalogo è pubblicato e aperto a feedback; v1.0-final richiede ≥ 3 revisori esterni nominati. Finché non accade, non citarlo come standard rilasciato — cita la bozza.
Ogni controllo stabilisce un requisito, perché è importante, un metodo di misurazione concreto e un livello. Tre livelli si costruiscono l'uno sull'altro: Basic (il pavimento dei 12 controlli), Hardened (15 controlli per dati clienti o regolamentati) e Audited (5 controlli con garanzia verificabile da terze parti).
CGB-1 · 6 controlli
Credenziali, dati personali e identificatori regolamentati non devono mai attraversare il confine di fiducia. Rilevamento, redazione e le garanzie che li circondano.
CGB-2 · 5 controlli
Per qualsiasi interazione con un modello: cosa è entrato nel contesto, da dove proviene, è stato alterato? Attribuzione della fonte, divulgazione delle trasformazioni, prova di manomissione.
CGB-3 · 5 controlli
Un prompt si espande in molte chiamate a strumenti e sub-agenti. Limiti, attribuzione e arresto del consumo incontrollato prima della fattura.
CGB-4 · 6 controlli
Le affermazioni di governance sono forti solo quanto i record che le supportano. Cosa viene registrato, come è protetto e se un terzo può verificarlo.
CGB-5 · 5 controlli
A cosa può accedere un agente, su quale autorità? Confini del filesystem, dell'esecuzione di comandi, della rete e degli strumenti — assistente, non shell root non verificata.
CGB-6 · 5 controlli
Cache, store di sessione, memoria a lungo termine, conoscenza condivisa: come lo stato accumulato è delimitato, scaduto, eliminato e mantenuto onesto nel tempo.
I controlli assegnano Punteggio Raggiunto (1.0), Parziale (0.5, gap descritto) o Non raggiunto (0). Il punteggio di un livello è il totale dei punti sui controlli applicabili. Il grado è la più alta soglia che il pipeline supera — al di sotto di C1 è semplicemente non valutato.
Foundational
Basic ≥ 75%
Managed
Base ≥ 90% e Rafforzato ≥ 50%
Hardened
Base = 100%, Rafforzato ≥ 80%, Auditato ≥ 40%, ogni controllo Raggiunto collega prove
Audited
Base = 100%, Rafforzato = 100%, Auditato ≥ 80%, verificato in modo indipendente
A partire da C3, ogni affermazione Raggiunto collega prove che un revisore può aprire. Da C4, la valutazione stessa è verificata in modo indipendente — le auto-valutazioni si fermano a C3 per design.
La specifica è tool-neutrale; questa parte no. LeanCTX si auto-valuta rispetto alla bozza v1.0 a C2 — Gestito: Base 96% · Rafforzato 80% · Auditato 50%. Laddove un'affermazione non può essere verificata in modo rigoroso, il controllo viene valutato al ribasso, non all'insù.
I gap pubblicati includono CGB-1.4 (la copertura di redazione fail-closed è convenzionale, non strutturalmente provata da un gate CI) e diversi controlli a livello Auditato che attendono la verifica di terze parti. I risultati completi per controllo — inclusi ogni Parziale e Non rispettato — sono disponibili nella autovalutazione pubblica.
Valuta il tuo setup: lean-ctx policy coverage --benchmark cgb controlla staticamente il tuo pacchetto di policy risolto rispetto ai controlli testabili — fixture sintetiche, non fiducia nei nomi dei pattern.
Gli ID dei controlli sono permanenti e mai riutilizzati. Le modifiche sostanziali passano attraverso un processo RFC-light con una finestra di commento di 14 giorni e dissentimento registrato. Il catalogo viene rivisto annualmente; le bozze sono sempre etichettate. Licenza: CC-BY 4.0.
Comitato di revisione — chiamata aperta. v1.0-final verrà rilasciato una volta che ≥ 3 revisori esterni nominati (specialisti in sicurezza, conformità o ingegneria delle piattaforme, senza interessi commerciali di un singolo fornitore) avranno esaminato ogni dominio. I revisori sono nominati nella specifica rilasciata. Volontari tramite un issue →
Un catalogo versionato e tool-neutrale di 32 controlli misurabili su 6 domini (sensibilità e redazione, provenienza, controllo del budget, audit e prove, scoping dell'accesso, ciclo di vita e conservazione) che definisce cosa sia un pipeline context governato — come i CIS Benchmarks definiscono cosa sia un server rafforzato. Viene pubblicato sotto CC-BY 4.0 e valutato in quattro gradi di maturità, C1 a C4.
I manutentori di LeanCTX modificano la specifica, ma i controlli sono deliberatamente tool-neutral: nessun concetto LeanCTX appare in alcun controllo, un linter di neutralità lo impone in CI e qualsiasi pipeline vendor o interna può auto-valutarsi. LeanCTX pubblica la propria autovalutazione come documento separato — inclusi i gap.
Rispetto alla bozza v1.0, LeanCTX si auto-valuta a C2 — Gestito (Base 96%, Rafforzato 80%, Auditato 50%), con i gap pubblicati: tra questi, la copertura di redazione fail-closed è convenzionale piuttosto che strutturalmente provata, e diversi controlli a livello Auditato richiedono verifica da terze parti. Un punteggio auto-valutativo perfetto direbbe più sull'assessment che sul prodotto stesso.
No — la bozza v1.0 è pubblicata e aperta alla revisione. Il rilascio diventerà v1.0-final solo quando almeno tre revisori esterni nominati (specialisti in sicurezza, conformità o ingegneria delle piattaforme) avranno esaminato ogni dominio. Fino ad allora, le valutazioni devono citare lo stato di bozza. Vuoi essere un revisore? Apri un issue nel repository della specifica.
Clona lo spec, lavora attraverso i 32 controlli con il modello di valutazione e assegna a ciascun controllo Met, Partial, Not met o N/A utilizzando il metodo di misurazione dichiarato. Gli utenti LeanCTX possono automatizzare parte del processo: lean-ctx policy coverage --benchmark cgb verifica staticamente il pacchetto di policy risolto rispetto ai controlli testabili e stampa i risultati per controllo.
Leggi la spec, valuta il tuo pipeline, segnala problemi — o vedi come LeanCTX implementa i controlli localmente, gratis per sempre. CGB definisce i controlli; l'Open Context Protocol definisce il formato del wire; le mappature di conformità collegano entrambi all'EU AI Act, ISO 42001 e SOC 2.