Açık standart · v1.0-taslak

Yönetilen bir bağlam boru hattı
gerçekten nasıl görünür?

CIS Benchmarks neyin sertleştirilmiş bir sunucu olduğunu tanımlar. Context Governance Benchmark, yönetilen bir bağlam boru hattının ne olduğunu tanımlar: 6 alanda 32 ölçülebilir, araçtan bağımsız kontrol, dört olgunluk derecesine göre puanlanmıştır. Güvenlik ekipleri, satın alma ve basın tarafından alıntılanabilir — CC-BY 4.0 altında ücretsiz.

Spesifikasyonu oku LeanCTX öz değerlendirmesi (C2)

Durum: v1.0-taslak, inceleme öncesi. Katalog yayınlanmıştır ve geri bildirim için açıktır; v1.0-nihai olması ≥ 3 adlandırılmış harici gözden geçirmeci gerektirir. O zamana kadar, bunu bir sürüm standardı olarak alıntılamayın — taslağı alıntılayın.

Katalog

32 kontrol, 6 alan.

Her kontrol bir gereklilik, neden önemli olduğu, somut bir ölçüm yöntemi ve bir seviye belirtir. Üç seviye birbirini tamamlar: Temel (12 kontrollük taban), Sertleştirilmiş (müşteri veya düzenlenmiş veri için 15 kontrol) ve Denetlenmiş (üçüncü taraf tarafından doğrulanabilir güvence ile 5 kontrol).

CGB-1 · 6 kontroller

Hassasiyet ve Sansür

Kimlik bilgileri, kişisel veriler ve düzenlenmiş tanımlayıcılar asla güven sınırını aşmamalıdır. Tespit, sansürleme ve bu etrafındaki garantiler.

CGB-2 · 5 kontroller

Köken & Bütünlük

Her model etkileşimi için: bağlama ne girdi, nereden geldi, değiştirildi mi? Kaynak atfı, dönüşüm ifşası, sahtecilik kanıtı.

CGB-3 · 5 kontroller

Bütçe & Kaynak Kontrolü

Tek bir komut istemi birçok araç çağrısına ve alt ajana yayılır. Sınırlar, atıf ve faturadan önce kontrolden çıkmış tüketimi durdurma.

CGB-4 · 6 kontroller

Denetim & Kanıt

Yönetişim iddiaları yalnızca arkasındaki kayıtlardan güçlüdür. Ne kaydedildiği, nasıl korunduğu ve üçüncü bir tarafın doğrulayıp doğrulayamayacağı.

CGB-5 · 5 kontroller

Erişim Kapsamı

Bir ajanın neye ulaşabileceği, kimin yetkisiyle? Dosya sistemi, komut çalıştırma, ağ ve araç yüzeyi sınırları — asistan, denetlenmemiş root kabuğu değil.

CGB-6 · 5 kontroller

Yaşam Döngüsü & Saklama

Önbellekler, oturum depolamaları, uzun süreli bellek, paylaşılan bilgi: birikmiş durumun nasıl sınırlandırıldığı, sona erdirildiği, silindiği ve zaman içinde dürüst tutulduğu.

Puanlama

Dört derece, C0 ile saklanacak yer yok.

Kontroller puanı Karşılandı (1.0), Kısmi (0.5, açıklanan boşluk) veya Karşılanmadı (0). Bir seviyenin puanı, uygulanabilir kontroller üzerindeki puandır. Derece, hattın geçtiği en yüksek eşiktir — C1'den düşükse basitçe derecelendirilmemiştir.

C1

Foundational

Basic ≥ 75%

C2

Managed

Temel ≥ %90 ve Güçlendirilmiş ≥ %50%

C3

Hardened

Temel = %100, Güçlendirilmiş ≥ %80, Denetlenmiş ≥ %40%, her Karşılanan kontrol kanıtla bağlantılı

C4

Audited

Temel = %100, Güçlendirilmiş = %100, Denetlenmiş ≥ %80, bağımsız olarak doğrulanmış

C3'ten yukarıda, her Karşılandı iddiası, bir inceleyicinin açabileceği kanıtlarla bağlantılıdır. C4'ten itibaren, değerlendirmenin kendisi bağımsız olarak doğrulanır — öz-değerlendirmeler tasarım gereği C3'te durur.

LeanCTX, değerlendirilmiş

Kendimizi derecelendiriyoruz C2 — ve eksikleri gösteriyoruz.

Spec araçtan bağımsızdır; bu kısım değil. LeanCTX, v1.0-draft'a karşı C2 — Yönetilen: Temel %96 · Güçlendirilmiş %80 · Denetlenmiş %50 olarak öz değerlendirme yapar. Bir iddianın sert bir şekilde doğrulanamadığı yerde, kontrol düşük derecelendirilir, yüksek değil.

Yayınlanmış boşluklar arasında CGB-1.4 (fail-closed sansür kapsamı gelenekseldir, bir CI kapısı tarafından yapısal olarak kanıtlanmamıştır) ve üçüncü taraf doğrulaması bekleyen birkaç Denetlenmiş düzeyli kontrol bulunmaktadır. Kontrol başına tüm bulgular — her Kısmi ve Karşılanmamış dahil — kamuya açık öz değerlendirmede.

Kendi kurulumunuzu değerlendirin: lean-ctx policy coverage --benchmark cgb, çözümlenmiş politika paketinizi test edilebilir kontrollerle — desen adı güveni yerine sentetik düzeneği — statik olarak kontrol eder.

Governance

Sürümlemeli bir spesifikasyon gibi.

Kontrol kimlikleri kalıcıdır ve asla yeniden kullanılmaz. Maddi değişiklikler, 14 günlük yorum penceresi ve kaydedilmiş muhalefet içeren bir RFC-hafif süreciyle geçer. Katalog yıllık olarak revize edilir; taslaklar her zaman etiketlenmiştir. Lisans: CC-BY 4.0.

İnceleme kurulu — açık çağrı. v1.0-final, ≥ 3 adlı harici incelemecinin (güvenlik, uyumluluk veya platform mühendisliği uygulayıcıları, tek bir tedarikçi ticari çıkarı olmamalı) her alanı işlemesiyle yayınlanır. İncelemeciler yayımlanan spesifikasyonda adlandırılır. Bir sorundan gönüllü olun →

FAQ

Kıyaslama, cevaplandı.

Context Governance Benchmark nedir?

6 alanda (hassasiyet ve sansür, menşe, bütçe kontrolü, denetim ve kanıt, erişim kapsamı, yaşam döngüsü ve tutma) 32 ölçülebilir kontrol içeren sürümlemeli, araçtan bağımsız bir katalogdır; yönetilen bir context pipeline'ının ne olduğunu tanımlar — CIS Benchmarks'ın sertleştirilmiş bir sunucunun ne olduğunu tanımlama şekli. CC-BY 4.0 altında yayınlanır ve dört olgunluk derecesine, C1'den C4'e kadar puanlanır.

CGB, bir LeanCTX standardı mı?

LeanCTX bakımcıları spesifikasyonu düzenler, ancak kontroller kasıtlı olarak araçtan bağımsızdır: hiçbir kontrolde LeanCTX kavramı görünmez, bir tarafsızlık linter'ı bunu CI'da zorunlu kılar ve herhangi bir satıcı veya şirket içi pipeline kendi değerlendirmesini yapabilir. LeanCTX, eksikleri de içeren ayrı bir belge olarak kendi öz değerlendirmesini yayınlar.

LeanCTX'in kendisi ne kadar puan alır?

v1.0-draft'a göre, LeanCTX kendini C2 — Yönetilen (Temel %96, Güçlendirilmiş %80, Denetlenmiş %50) olarak değerlendiriyor ve eksikleri yayınlıyor: bunlar arasında, fail-closed redaksiyon kapsamı yapısal olarak kanıtlanmış olmaktan ziyade gelenekseldir ve birkaç Denetlenmiş düzeyindeki kontrol üçüncü taraf doğrulaması gerektirir. Mükemmel bir öz puanlama, üründen çok değerlendirme hakkında daha fazla şey söyler.

v1.0 nihai mi?

Hayır — v1.0-draft yayınlanmıştır ve incelemeye açıktır. Yayın, en az üç adlı harici hakem (güvenlik, uyumluluk veya platform mühendisliği uygulayıcıları) her alan üzerinde çalıştıktan sonra v1.0-final olur. O zamana kadar değerlendirmeler taslak durumunu belirtmelidir. Hakem olmak ister misiniz? Spesifikasyon deposunda bir sorun açın.

Kendi pipeline'ımı nasıl değerlendiririm?

Spesifikasyonu klonlayın, 32 kontrolü değerlendirme şablonuyla çalıştırın ve her kontrolü belirtilen ölçüm yöntemini kullanarak Karşılandı (Met), Kısmen Karşılandı (Partial), Karşılanmadı (Not met) veya UYGULAMADAN (N/A) olarak derecelendirin. LeanCTX kullanıcıları bunun bir kısmını otomatikleştirebilir: lean-ctx policy coverage --benchmark cgb, çözümlenmiş politika paketini test edilebilir kontrollerle karşılaştırır ve kontrol başına sonuçlar yazdırır.

Modellerinizi besleyen katmanı yönetin.

Spesifikasyonu okuyun, hattınızı değerlendirin, sorun bildirin — veya LeanCTX'in kontrolleri yerel olarak, sonsuza kadar ücretsiz nasıl uyguladığını görün. CGB kontrolleri tanımlar; Open Context Protocol kablo formatını tanımlar; uyumluluk eşlemeleri her ikisini de EU AI Act, ISO 42001 ve SOC 2 ile bağlar.