CGB-1 · 6 засоби контролю
Чутливість та редагування
Ключові дані, персональні дані та регульовані ідентифікатори ніколи не повинні виходити за межі довіри. Виявлення, редагування та гарантії навколо них.
CIS Benchmarks визначають, що таке захищений сервер. Context Governance Benchmark визначає, що таке керований контекстний конвеєр: 32 вимірювані засоби контролю, незалежні від інструментів у 6 доменах, оцінені за чотирма рівнями зрілості. Цитується командами безпеки, закупівель та пресою — безкоштовно за CC-BY 4.0.
Статус: v1.0-draft, до перегляду. Каталог опубліковано та відкритий для відгуків; v1.0-final вимагає ≥ 3 зовнішніх рецензентів. До цього часу не цитуйте його як випущений стандарт — цитуйте чернетку.
Кожен засіб контролю визначає вимогу, чому вона важлива, конкретний метод вимірювання та рівень. Три рівні нарощуються один на одному: Basic (базовий рівень із 12 засобів контролю), Hardened (15 засобів контролю для клієнтських або регульованих даних) та Audited (5 засобів контролю з підтвердженням третьої сторони).
CGB-1 · 6 засоби контролю
Ключові дані, персональні дані та регульовані ідентифікатори ніколи не повинні виходити за межі довіри. Виявлення, редагування та гарантії навколо них.
CGB-2 · 5 засоби контролю
Для будь-якої взаємодії з моделлю: що потрапило в контекст, звідки воно походить, чи було змінено? Атрибуція джерела, розкриття трансформацій, докази маніпуляцій.
CGB-3 · 5 засоби контролю
Один промпт може розходитися в багато викликів інструментів та під-агентів. Обмеження, атрибуція та зупинка неконтрольованого споживання перед рахунком.
CGB-4 · 6 засоби контролю
Заяви про управління є такими ж сильними, як і записи, що їх підтверджують. Що реєструється, як це захищено і чи може це перевірити третя сторона.
CGB-5 · 5 засоби контролю
До чого може дістатися агент, на чиїй владі? Обмеження файлової системи, виконання команд, мережі та поверхні інструментів — помічник, а не неаудитована root-оболонка.
CGB-6 · 5 засоби контролю
Кеші, сесійні сховища, довготрива пам'ять, спільні знання: як накопичений стан обмежується, закінчується терміном дії, видаляється і залишається правдивим з часом.
Контролі оцінюються як Виконано (1.0), Частково (0.5, описана прогалина) або Не виконано (0). Оцінка рівня — це сума балів за відповідні контролі. Рівень — це найвищий поріг, який проходить конвеєр — нижче C1 він просто не оцінюється.
Foundational
Basic ≥ 75%
Managed
Basic ≥ 90% та Hardened ≥ 50%
Hardened
Basic = 100%, Hardened ≥ 80%, Audited ≥ 40%, кожен контроль 'Виконано' пов'язаний із доказами
Audited
Basic = 100%, Hardened = 100%, Audited ≥ 80%, незалежно перевірено
Починаючи з C3, кожна заява Виконано пов'язана з доказами, які може відкрити рецензент. З C4 сама оцінка є незалежно перевіреною — самооцінки зупиняються на рівні C3 за задумом.
Специфікація є нейтральною щодо інструментів; ця частина — ні. LeanCTX самооцінює себе за v1.0-draft на рівні C2 — Managed: Basic 96% · Hardened 80% · Audited 50%. Там, де твердження неможливо підтвердити шляхом жорсткої перевірки, контроль оцінюється нижче, а не вище.
Опубліковані прогалини включають CGB-1.4 (покриття редакції з відмовою за замовчуванням є загальноприйнятним, а не структурно доведеним CI-воротами) та кілька контролів рівня Audited, які очікують сторонньої перевірки. Повні результати за кожним контролем — включаючи кожен Partial і Not met — доступні в публічній самооцінці.
Оцініть свою власну конфігурацію: lean-ctx policy coverage --benchmark cgb статично перевіряє ваш розв'язаний пакет політик на відповідність контрольованим засобам — синтетичним фікстурам, а не довірі до назв шаблонів.
Ідентифікатори контролів є постійними та ніколи не використовуються повторно. Суттєві зміни проходять процес, схожий на RFC, з 14-денним періодом коментарів та записаною незгодою. Каталог переглядається щорічно; чернетки завжди маркуються. Ліцензія: CC-BY 4.0.
Рада рецензентів — відкритий конкурс. v1.0-final випускається, коли ≥ 3 зовнішніх рецензенти з іменем (фахівці з безпеки, відповідності або платформенської інженерії, без комерційних інтересів одного постачальника) пройдуть через кожну область. Рецензенти вказуються у випущеній специфікації. Волонтери через issue →
Версіонований, нейтральний щодо інструментів каталог із 32 вимірюваними контролями у 6 доменах (чутливість та редагування, походження, бюджетний контроль, аудит та докази, обмежування доступу, життєвий цикл та зберігання), який визначає, що таке керований контекстний конвеєр — так само як CIS Benchmarks визначають, що є захищеним сервером. Він публікується під CC-BY 4.0 і оцінюється за чотирма рівнями зрілості: C1–C4.
Підтримувачі LeanCTX редагують специфікацію, але контролі навмисно нейтральні щодо інструментів: жодна концепція LeanCTX не з'являється в жодному контролі, лінтер нейтральності забезпечує це у CI, і будь-який вендор чи внутрішній конвеєр може самооцінити себе. LeanCTX публікує власну самооцінку як окремий документ — включаючи прогалини.
За v1.0-draft, LeanCTX самооцінюється на рівні C2 — Managed (Basic 96%, Hardened 80%, Audited 50%), з опублікованими прогалами: серед них покриття редакції з відмовою за замовчуванням є загальноприйнятним, а не структурно доведеним, і кілька контролів рівня Audited потребують сторонньої перевірки. Ідеальний самооцінок скаже більше про оцінку, ніж про продукт.
Ні — v1.0-draft опубліковано та відкрите для рецензування. Випуск стає v1.0-final, коли щонайменше троє зовнішніх рецензентів з іменем (фахівці з безпеки, відповідності або платформенської інженерії) пройдуть через кожну область. До того часу оцінки повинні цитувати статус чернетки. Хочете стати рецензентом? Створіть issue у репозиторії специфікації.
Клонуйте специфікацію, пройдіть 32 контролі з шаблоном оцінки та поставте оцінку для кожного контролю як Met, Partial, Not met або N/A, використовуючи його заявлений метод вимірювання. Користувачі LeanCTX можуть автоматизувати частину цього: lean-ctx policy coverage --benchmark cgb статично перевіряє розв'язаний пакет політик на відповідність контрольованим елементам та друкує результати для кожного контролю.
Прочитайте специфікацію, оцінізуйте ваш пайплайн, подайте проблеми — або дізнайтеся, як LeanCTX реалізує ці контролі локально, безкоштовно завжди. CGB визначає контролі; Open Context Protocol визначає формат передачі даних; мапінги відповідності пов'язують обидва з EU AI Act, ISO 42001 та SOC 2.