CGB-1 · 6 kiểm soát
Độ nhạy & Che giấu
Thông tin xác thực, dữ liệu cá nhân và các định danh được quản lý không bao giờ được vượt qua ranh giới tin cậy. Phát hiện, chỉnh sửa và các đảm bảo xung quanh chúng.
CIS Benchmarks định nghĩa một máy chủ đã được tăng cường là gì. Context Governance Benchmark định nghĩa một quy trình context được quản lý: 32 kiểm soát có thể đo lường, trung lập với công cụ trên 6 lĩnh vực, chấm điểm thành bốn cấp độ trưởng thành. Có thể trích dẫn bởi các nhóm bảo mật, mua sắm và báo chí — miễn phí theo CC-BY 4.0.
Trạng thái: v1.0-draft, chờ xem xét. Danh mục đã được xuất bản và mở để nhận phản hồi; v1.0-final yêu cầu ≥ 3 người đánh giá bên ngoài có tên. Cho đến lúc đó, không trích dẫn nó là tiêu chuẩn đã phát hành — hãy trích dẫn bản nháp.
Mỗi kiểm soát nêu ra một yêu cầu, lý do nó quan trọng, phương pháp đo lường cụ thể và một cấp độ. Ba cấp độ xây dựng trên nhau: Cơ bản (mức sàn 12 kiểm soát), Tăng cường (15 kiểm soát cho dữ liệu khách hàng hoặc được quản lý) và Kiểm toán (5 kiểm soát với sự đảm bảo có thể xác minh bởi bên thứ ba).
CGB-1 · 6 kiểm soát
Thông tin xác thực, dữ liệu cá nhân và các định danh được quản lý không bao giờ được vượt qua ranh giới tin cậy. Phát hiện, chỉnh sửa và các đảm bảo xung quanh chúng.
CGB-2 · 5 kiểm soát
Đối với bất kỳ tương tác mô hình nào: cái gì đã đi vào ngữ cảnh, nó đến từ đâu, nó có bị thay đổi không? Gán nguồn, tiết lộ chuyển đổi, bằng chứng giả mạo.
CGB-3 · 5 kiểm soát
Một lời nhắc (prompt) lan ra nhiều lệnh gọi công cụ và sub-agent. Giới hạn, gán nguồn và dừng tiêu thụ vô độ trước khi hóa đơn đến.
CGB-4 · 6 kiểm soát
Các tuyên bố quản trị chỉ mạnh bằng các hồ sơ đằng sau chúng. Cái gì được ghi nhật ký, cách nó được bảo vệ, và liệu bên thứ ba có thể xác minh nó hay không.
CGB-5 · 5 kiểm soát
Một agent có thể truy cập những gì, dưới thẩm quyền của ai? Giới hạn hệ thống tệp, thực thi lệnh, mạng và bề mặt công cụ — trợ lý, chứ không phải shell root chưa được kiểm toán.
CGB-6 · 5 kiểm soát
Bộ nhớ đệm (Caches), kho lưu trữ phiên (session stores), bộ nhớ dài hạn, kiến thức chia sẻ: cách trạng thái tích lũy được giới hạn, hết hạn, xóa và giữ trung thực theo thời gian.
Kiểm soát điểm đạt (Met) (1.0), Một phần (Partial) (0.5, mô tả khoảng trống) hoặc Không đạt (Not met) (0). Điểm của một cấp độ là tổng điểm trên các kiểm soát áp dụng. Cấp độ là ngưỡng cao nhất mà pipeline vượt qua — dưới C1 thì đơn giản là chưa được xếp hạng.
Foundational
Basic ≥ 75%
Managed
Cơ bản ≥ 90% và Tăng cường ≥ 50%
Hardened
Cơ bản = 100%, Tăng cường ≥ 80%, Kiểm toán ≥ 40%, mọi kiểm soát Đạt đều liên kết bằng chứng
Audited
Cơ bản = 100%, Tăng cường = 100%, Kiểm toán ≥ 80%, được xác minh độc lập
Từ C3 trở lên, mọi tuyên bố Đạt đều liên kết bằng chứng mà người đánh giá có thể mở. Từ C4, bản đánh giá tự thân được xác minh độc lập — tự đánh giá dừng lại ở C3 theo thiết kế.
Đặc tả không phụ thuộc vào công cụ; phần này thì có. LeanCTX tự đánh giá dựa trên v1.0-draft ở mức C2 — Managed: Basic 96% · Hardened 80% · Audited 50%. Nơi nào tuyên bố không thể được xác minh bằng thực tế, kiểm soát sẽ bị hạ cấp, chứ không phải nâng cấp.
Các lỗ hổng đã công bố bao gồm CGB-1.4 (phạm vi che giấu fail-closed là thông lệ, không được chứng minh cấu trúc bởi cổng CI) và một số kiểm soát cấp Audited đang chờ xác minh của bên thứ ba. Các phát hiện đầy đủ theo từng kiểm soát — bao gồm mọi Partial và Not met — có trong bản tự đánh giá công khai.
Đánh giá thiết lập của bạn: lean-ctx policy coverage --benchmark cgb kiểm tra tĩnh gói chính sách đã được giải quyết của bạn so với các kiểm soát có thể kiểm thử — các fixture tổng hợp, không phải tin tưởng theo tên mẫu.
ID kiểm soát là vĩnh viễn và không bao giờ được tái sử dụng. Các thay đổi về mặt nội dung sẽ trải qua quy trình RFC-light với cửa sổ bình luận 14 ngày và ghi lại sự bất đồng ý kiến. Danh mục này được sửa đổi hàng năm; các bản nháp luôn được gắn nhãn. Giấy phép: CC-BY 4.0.
Ban đánh giá — kêu gọi mở. v1.0-final sẽ được phát hành khi ≥ 3 người đánh giá bên ngoài có tên (chuyên gia bảo mật, tuân thủ hoặc kỹ thuật nền tảng, không liên quan đến lợi ích thương mại của một nhà cung cấp duy nhất) đã xem xét mọi lĩnh vực. Các người đánh giá được nêu tên trên đặc tả được phát hành. Tình nguyện qua một vấn đề →
Một danh mục có phiên bản, không phụ thuộc vào công cụ gồm 32 kiểm soát có thể đo lường trên 6 lĩnh vực (độ nhạy & che giấu, nguồn gốc, kiểm soát ngân sách, kiểm toán & bằng chứng, phạm vi truy cập, vòng đời & lưu giữ) xác định một pipeline context được quản lý là gì — giống như cách CIS Benchmarks xác định một máy chủ đã được tăng cường là gì. Nó được xuất bản theo CC-BY 4.0 và được chấm điểm thành bốn cấp độ trưởng thành, từ C1 đến C4.
Các quản maintainer của LeanCTX chỉnh sửa đặc tả, nhưng các kiểm soát cố ý trung lập với công cụ: không khái niệm nào của LeanCTX xuất hiện trong bất kỳ kiểm soát nào, một linter tính trung lập thực thi điều đó trong CI, và bất kỳ pipeline nội bộ hoặc nhà cung cấp nào cũng có thể tự đánh giá. LeanCTX xuất bản bản tự đánh giá riêng — bao gồm cả các lỗ hổng.
Đối với v1.0-draft, LeanCTX tự đánh giá ở mức C2 — Managed (Basic 96%, Hardened 80%, Audited 50%), với các lỗ hổng được công bố: trong đó, phạm vi che giấu fail-closed là thông lệ hơn là được chứng minh cấu trúc, và một số kiểm soát cấp Audited cần xác minh của bên thứ ba. Một điểm tự đánh giá hoàn hảo sẽ nói nhiều về việc đánh giá hơn là về sản phẩm.
Không — v1.0-draft đã được xuất bản và mở để xem xét. Bản phát hành sẽ trở thành v1.0-final khi ít nhất ba người đánh giá bên ngoài có tên (chuyên gia bảo mật, tuân thủ hoặc kỹ thuật nền tảng) đã xem xét mọi lĩnh vực. Cho đến lúc đó, các đánh giá phải trích dẫn trạng thái bản nháp. Muốn làm người đánh giá? Mở một vấn đề trong kho lưu trữ đặc tả.
Clone đặc tả, xem xét 32 kiểm soát với mẫu đánh giá, và chấm điểm từng kiểm soát là Met, Partial, Not met hoặc N/A bằng phương pháp đo lường đã nêu. Người dùng LeanCTX có thể tự động hóa một phần: <code class="font-mono">lean-ctx policy coverage --benchmark cgb</code> kiểm tra tĩnh gói chính sách đã được giải quyết so với các kiểm soát có thể kiểm thử và in kết quả theo từng kiểm soát.
Đọc đặc tả, đánh giá quy trình làm việc của bạn, báo cáo sự cố — hoặc xem cách LeanCTX triển khai các điều khiển này tại chỗ, miễn phí mãi mãi. CGB định nghĩa các điều khiển; Open Context Protocol định nghĩa định dạng dây; ánh xạ tuân thủ kết nối cả hai với EU AI Act, ISO 42001 và SOC 2.