CGB-1 · 6 kontroller
Hassasiyet ve Sansür
Kimlik bilgileri, kişisel veriler ve düzenlenmiş tanımlayıcılar asla güven sınırını aşmamalıdır. Tespit, sansürleme ve bu etrafındaki garantiler.
CIS Benchmarks neyin sertleştirilmiş bir sunucu olduğunu tanımlar. Context Governance Benchmark, yönetilen bir bağlam boru hattının ne olduğunu tanımlar: 6 alanda 32 ölçülebilir, araçtan bağımsız kontrol, dört olgunluk derecesine göre puanlanmıştır. Güvenlik ekipleri, satın alma ve basın tarafından alıntılanabilir — CC-BY 4.0 altında ücretsiz.
Durum: v1.0-taslak, inceleme öncesi. Katalog yayınlanmıştır ve geri bildirim için açıktır; v1.0-nihai olması ≥ 3 adlandırılmış harici gözden geçirmeci gerektirir. O zamana kadar, bunu bir sürüm standardı olarak alıntılamayın — taslağı alıntılayın.
Her kontrol bir gereklilik, neden önemli olduğu, somut bir ölçüm yöntemi ve bir seviye belirtir. Üç seviye birbirini tamamlar: Temel (12 kontrollük taban), Sertleştirilmiş (müşteri veya düzenlenmiş veri için 15 kontrol) ve Denetlenmiş (üçüncü taraf tarafından doğrulanabilir güvence ile 5 kontrol).
CGB-1 · 6 kontroller
Kimlik bilgileri, kişisel veriler ve düzenlenmiş tanımlayıcılar asla güven sınırını aşmamalıdır. Tespit, sansürleme ve bu etrafındaki garantiler.
CGB-2 · 5 kontroller
Her model etkileşimi için: bağlama ne girdi, nereden geldi, değiştirildi mi? Kaynak atfı, dönüşüm ifşası, sahtecilik kanıtı.
CGB-3 · 5 kontroller
Tek bir komut istemi birçok araç çağrısına ve alt ajana yayılır. Sınırlar, atıf ve faturadan önce kontrolden çıkmış tüketimi durdurma.
CGB-4 · 6 kontroller
Yönetişim iddiaları yalnızca arkasındaki kayıtlardan güçlüdür. Ne kaydedildiği, nasıl korunduğu ve üçüncü bir tarafın doğrulayıp doğrulayamayacağı.
CGB-5 · 5 kontroller
Bir ajanın neye ulaşabileceği, kimin yetkisiyle? Dosya sistemi, komut çalıştırma, ağ ve araç yüzeyi sınırları — asistan, denetlenmemiş root kabuğu değil.
CGB-6 · 5 kontroller
Önbellekler, oturum depolamaları, uzun süreli bellek, paylaşılan bilgi: birikmiş durumun nasıl sınırlandırıldığı, sona erdirildiği, silindiği ve zaman içinde dürüst tutulduğu.
Kontroller puanı Karşılandı (1.0), Kısmi (0.5, açıklanan boşluk) veya Karşılanmadı (0). Bir seviyenin puanı, uygulanabilir kontroller üzerindeki puandır. Derece, hattın geçtiği en yüksek eşiktir — C1'den düşükse basitçe derecelendirilmemiştir.
Foundational
Basic ≥ 75%
Managed
Temel ≥ %90 ve Güçlendirilmiş ≥ %50%
Hardened
Temel = %100, Güçlendirilmiş ≥ %80, Denetlenmiş ≥ %40%, her Karşılanan kontrol kanıtla bağlantılı
Audited
Temel = %100, Güçlendirilmiş = %100, Denetlenmiş ≥ %80, bağımsız olarak doğrulanmış
C3'ten yukarıda, her Karşılandı iddiası, bir inceleyicinin açabileceği kanıtlarla bağlantılıdır. C4'ten itibaren, değerlendirmenin kendisi bağımsız olarak doğrulanır — öz-değerlendirmeler tasarım gereği C3'te durur.
Spec araçtan bağımsızdır; bu kısım değil. LeanCTX, v1.0-draft'a karşı C2 — Yönetilen: Temel %96 · Güçlendirilmiş %80 · Denetlenmiş %50 olarak öz değerlendirme yapar. Bir iddianın sert bir şekilde doğrulanamadığı yerde, kontrol düşük derecelendirilir, yüksek değil.
Yayınlanmış boşluklar arasında CGB-1.4 (fail-closed sansür kapsamı gelenekseldir, bir CI kapısı tarafından yapısal olarak kanıtlanmamıştır) ve üçüncü taraf doğrulaması bekleyen birkaç Denetlenmiş düzeyli kontrol bulunmaktadır. Kontrol başına tüm bulgular — her Kısmi ve Karşılanmamış dahil — kamuya açık öz değerlendirmede.
Kendi kurulumunuzu değerlendirin: lean-ctx policy coverage --benchmark cgb, çözümlenmiş politika paketinizi test edilebilir kontrollerle — desen adı güveni yerine sentetik düzeneği — statik olarak kontrol eder.
Kontrol kimlikleri kalıcıdır ve asla yeniden kullanılmaz. Maddi değişiklikler, 14 günlük yorum penceresi ve kaydedilmiş muhalefet içeren bir RFC-hafif süreciyle geçer. Katalog yıllık olarak revize edilir; taslaklar her zaman etiketlenmiştir. Lisans: CC-BY 4.0.
İnceleme kurulu — açık çağrı. v1.0-final, ≥ 3 adlı harici incelemecinin (güvenlik, uyumluluk veya platform mühendisliği uygulayıcıları, tek bir tedarikçi ticari çıkarı olmamalı) her alanı işlemesiyle yayınlanır. İncelemeciler yayımlanan spesifikasyonda adlandırılır. Bir sorundan gönüllü olun →
6 alanda (hassasiyet ve sansür, menşe, bütçe kontrolü, denetim ve kanıt, erişim kapsamı, yaşam döngüsü ve tutma) 32 ölçülebilir kontrol içeren sürümlemeli, araçtan bağımsız bir katalogdır; yönetilen bir context pipeline'ının ne olduğunu tanımlar — CIS Benchmarks'ın sertleştirilmiş bir sunucunun ne olduğunu tanımlama şekli. CC-BY 4.0 altında yayınlanır ve dört olgunluk derecesine, C1'den C4'e kadar puanlanır.
LeanCTX bakımcıları spesifikasyonu düzenler, ancak kontroller kasıtlı olarak araçtan bağımsızdır: hiçbir kontrolde LeanCTX kavramı görünmez, bir tarafsızlık linter'ı bunu CI'da zorunlu kılar ve herhangi bir satıcı veya şirket içi pipeline kendi değerlendirmesini yapabilir. LeanCTX, eksikleri de içeren ayrı bir belge olarak kendi öz değerlendirmesini yayınlar.
v1.0-draft'a göre, LeanCTX kendini C2 — Yönetilen (Temel %96, Güçlendirilmiş %80, Denetlenmiş %50) olarak değerlendiriyor ve eksikleri yayınlıyor: bunlar arasında, fail-closed redaksiyon kapsamı yapısal olarak kanıtlanmış olmaktan ziyade gelenekseldir ve birkaç Denetlenmiş düzeyindeki kontrol üçüncü taraf doğrulaması gerektirir. Mükemmel bir öz puanlama, üründen çok değerlendirme hakkında daha fazla şey söyler.
Hayır — v1.0-draft yayınlanmıştır ve incelemeye açıktır. Yayın, en az üç adlı harici hakem (güvenlik, uyumluluk veya platform mühendisliği uygulayıcıları) her alan üzerinde çalıştıktan sonra v1.0-final olur. O zamana kadar değerlendirmeler taslak durumunu belirtmelidir. Hakem olmak ister misiniz? Spesifikasyon deposunda bir sorun açın.
Spesifikasyonu klonlayın, 32 kontrolü değerlendirme şablonuyla çalıştırın ve her kontrolü belirtilen ölçüm yöntemini kullanarak Karşılandı (Met), Kısmen Karşılandı (Partial), Karşılanmadı (Not met) veya UYGULAMADAN (N/A) olarak derecelendirin. LeanCTX kullanıcıları bunun bir kısmını otomatikleştirebilir: lean-ctx policy coverage --benchmark cgb, çözümlenmiş politika paketini test edilebilir kontrollerle karşılaştırır ve kontrol başına sonuçlar yazdırır.
Spesifikasyonu okuyun, hattınızı değerlendirin, sorun bildirin — veya LeanCTX'in kontrolleri yerel olarak, sonsuza kadar ücretsiz nasıl uyguladığını görün. CGB kontrolleri tanımlar; Open Context Protocol kablo formatını tanımlar; uyumluluk eşlemeleri her ikisini de EU AI Act, ISO 42001 ve SOC 2 ile bağlar.