Відкритивний стандарт · v1.0-draft

Як виглядає керований контекстний конвеєр
насправді?

CIS Benchmarks визначають, що таке захищений сервер. Context Governance Benchmark визначає, що таке керований контекстний конвеєр: 32 вимірювані засоби контролю, незалежні від інструментів у 6 доменах, оцінені за чотирма рівнями зрілості. Цитується командами безпеки, закупівель та пресою — безкоштовно за CC-BY 4.0.

Читати специфікацію Самооцінка LeanCTX (C2)

Статус: v1.0-draft, до перегляду. Каталог опубліковано та відкритий для відгуків; v1.0-final вимагає ≥ 3 зовнішніх рецензентів. До цього часу не цитуйте його як випущений стандарт — цитуйте чернетку.

Каталог

32 засоби контролю, 6 доменів.

Кожен засіб контролю визначає вимогу, чому вона важлива, конкретний метод вимірювання та рівень. Три рівні нарощуються один на одному: Basic (базовий рівень із 12 засобів контролю), Hardened (15 засобів контролю для клієнтських або регульованих даних) та Audited (5 засобів контролю з підтвердженням третьої сторони).

CGB-1 · 6 засоби контролю

Чутливість та редагування

Ключові дані, персональні дані та регульовані ідентифікатори ніколи не повинні виходити за межі довіри. Виявлення, редагування та гарантії навколо них.

CGB-2 · 5 засоби контролю

Походження та цілісність

Для будь-якої взаємодії з моделлю: що потрапило в контекст, звідки воно походить, чи було змінено? Атрибуція джерела, розкриття трансформацій, докази маніпуляцій.

CGB-3 · 5 засоби контролю

Бюджет та контроль ресурсів

Один промпт може розходитися в багато викликів інструментів та під-агентів. Обмеження, атрибуція та зупинка неконтрольованого споживання перед рахунком.

CGB-4 · 6 засоби контролю

Аудит та докази

Заяви про управління є такими ж сильними, як і записи, що їх підтверджують. Що реєструється, як це захищено і чи може це перевірити третя сторона.

CGB-5 · 5 засоби контролю

Обмеження доступу

До чого може дістатися агент, на чиїй владі? Обмеження файлової системи, виконання команд, мережі та поверхні інструментів — помічник, а не неаудитована root-оболонка.

CGB-6 · 5 засоби контролю

Життєвий цикл та зберігання

Кеші, сесійні сховища, довготрива пам'ять, спільні знання: як накопичений стан обмежується, закінчується терміном дії, видаляється і залишається правдивим з часом.

Оцінювання

Чотири рівні, немає C0, за яким можна сховатися.

Контролі оцінюються як Виконано (1.0), Частково (0.5, описана прогалина) або Не виконано (0). Оцінка рівня — це сума балів за відповідні контролі. Рівень — це найвищий поріг, який проходить конвеєр — нижче C1 він просто не оцінюється.

C1

Foundational

Basic ≥ 75%

C2

Managed

Basic ≥ 90% та Hardened ≥ 50%

C3

Hardened

Basic = 100%, Hardened ≥ 80%, Audited ≥ 40%, кожен контроль 'Виконано' пов'язаний із доказами

C4

Audited

Basic = 100%, Hardened = 100%, Audited ≥ 80%, незалежно перевірено

Починаючи з C3, кожна заява Виконано пов'язана з доказами, які може відкрити рецензент. З C4 сама оцінка є незалежно перевіреною — самооцінки зупиняються на рівні C3 за задумом.

LeanCTX, оцінено

Ми самооцінюємо C2 — і показуємо прогалини.

Специфікація є нейтральною щодо інструментів; ця частина — ні. LeanCTX самооцінює себе за v1.0-draft на рівні C2 — Managed: Basic 96% · Hardened 80% · Audited 50%. Там, де твердження неможливо підтвердити шляхом жорсткої перевірки, контроль оцінюється нижче, а не вище.

Опубліковані прогалини включають CGB-1.4 (покриття редакції з відмовою за замовчуванням є загальноприйнятним, а не структурно доведеним CI-воротами) та кілька контролів рівня Audited, які очікують сторонньої перевірки. Повні результати за кожним контролем — включаючи кожен Partial і Not met — доступні в публічній самооцінці.

Оцініть свою власну конфігурацію: lean-ctx policy coverage --benchmark cgb статично перевіряє ваш розв'язаний пакет політик на відповідність контрольованим засобам — синтетичним фікстурам, а не довірі до назв шаблонів.

Governance

Версіоновано як специфікація.

Ідентифікатори контролів є постійними та ніколи не використовуються повторно. Суттєві зміни проходять процес, схожий на RFC, з 14-денним періодом коментарів та записаною незгодою. Каталог переглядається щорічно; чернетки завжди маркуються. Ліцензія: CC-BY 4.0.

Рада рецензентів — відкритий конкурс. v1.0-final випускається, коли ≥ 3 зовнішніх рецензенти з іменем (фахівці з безпеки, відповідності або платформенської інженерії, без комерційних інтересів одного постачальника) пройдуть через кожну область. Рецензенти вказуються у випущеній специфікації. Волонтери через issue →

FAQ

Бенчмарк, відповіді на питання.

Що таке Context Governance Benchmark?

Версіонований, нейтральний щодо інструментів каталог із 32 вимірюваними контролями у 6 доменах (чутливість та редагування, походження, бюджетний контроль, аудит та докази, обмежування доступу, життєвий цикл та зберігання), який визначає, що таке керований контекстний конвеєр — так само як CIS Benchmarks визначають, що є захищеним сервером. Він публікується під CC-BY 4.0 і оцінюється за чотирма рівнями зрілості: C1–C4.

Чи є CGB стандартом LeanCTX?

Підтримувачі LeanCTX редагують специфікацію, але контролі навмисно нейтральні щодо інструментів: жодна концепція LeanCTX не з'являється в жодному контролі, лінтер нейтральності забезпечує це у CI, і будь-який вендор чи внутрішній конвеєр може самооцінити себе. LeanCTX публікує власну самооцінку як окремий документ — включаючи прогалини.

Що оцінює сам LeanCTX?

За v1.0-draft, LeanCTX самооцінюється на рівні C2 — Managed (Basic 96%, Hardened 80%, Audited 50%), з опублікованими прогалами: серед них покриття редакції з відмовою за замовчуванням є загальноприйнятним, а не структурно доведеним, і кілька контролів рівня Audited потребують сторонньої перевірки. Ідеальний самооцінок скаже більше про оцінку, ніж про продукт.

Чи v1.0 фінальна?

Ні — v1.0-draft опубліковано та відкрите для рецензування. Випуск стає v1.0-final, коли щонайменше троє зовнішніх рецензентів з іменем (фахівці з безпеки, відповідності або платформенської інженерії) пройдуть через кожну область. До того часу оцінки повинні цитувати статус чернетки. Хочете стати рецензентом? Створіть issue у репозиторії специфікації.

Як мені оцінити власний пайплайн?

Клонуйте специфікацію, пройдіть 32 контролі з шаблоном оцінки та поставте оцінку для кожного контролю як Met, Partial, Not met або N/A, використовуючи його заявлений метод вимірювання. Користувачі LeanCTX можуть автоматизувати частину цього: lean-ctx policy coverage --benchmark cgb статично перевіряє розв'язаний пакет політик на відповідність контрольованим елементам та друкує результати для кожного контролю.

Керуйте шаром, що живить ваші моделі.

Прочитайте специфікацію, оцінізуйте ваш пайплайн, подайте проблеми — або дізнайтеся, як LeanCTX реалізує ці контролі локально, безкоштовно завжди. CGB визначає контролі; Open Context Protocol визначає формат передачі даних; мапінги відповідності пов'язують обидва з EU AI Act, ISO 42001 та SOC 2.