Tiêu chuẩn mở · v1.0-draft

Một quy trình context được quản lý trông như thế nào
thực tế?

CIS Benchmarks định nghĩa một máy chủ đã được tăng cường là gì. Context Governance Benchmark định nghĩa một quy trình context được quản lý: 32 kiểm soát có thể đo lường, trung lập với công cụ trên 6 lĩnh vực, chấm điểm thành bốn cấp độ trưởng thành. Có thể trích dẫn bởi các nhóm bảo mật, mua sắm và báo chí — miễn phí theo CC-BY 4.0.

Đọc thông số kỹ thuật Tự đánh giá LeanCTX (C2)

Trạng thái: v1.0-draft, chờ xem xét. Danh mục đã được xuất bản và mở để nhận phản hồi; v1.0-final yêu cầu ≥ 3 người đánh giá bên ngoài có tên. Cho đến lúc đó, không trích dẫn nó là tiêu chuẩn đã phát hành — hãy trích dẫn bản nháp.

Danh mục

32 kiểm soát, 6 lĩnh vực.

Mỗi kiểm soát nêu ra một yêu cầu, lý do nó quan trọng, phương pháp đo lường cụ thể và một cấp độ. Ba cấp độ xây dựng trên nhau: Cơ bản (mức sàn 12 kiểm soát), Tăng cường (15 kiểm soát cho dữ liệu khách hàng hoặc được quản lý) và Kiểm toán (5 kiểm soát với sự đảm bảo có thể xác minh bởi bên thứ ba).

CGB-1 · 6 kiểm soát

Độ nhạy & Che giấu

Thông tin xác thực, dữ liệu cá nhân và các định danh được quản lý không bao giờ được vượt qua ranh giới tin cậy. Phát hiện, chỉnh sửa và các đảm bảo xung quanh chúng.

CGB-2 · 5 kiểm soát

Nguồn gốc & Tính toàn vẹn

Đối với bất kỳ tương tác mô hình nào: cái gì đã đi vào ngữ cảnh, nó đến từ đâu, nó có bị thay đổi không? Gán nguồn, tiết lộ chuyển đổi, bằng chứng giả mạo.

CGB-3 · 5 kiểm soát

Kiểm soát Ngân sách & Tài nguyên

Một lời nhắc (prompt) lan ra nhiều lệnh gọi công cụ và sub-agent. Giới hạn, gán nguồn và dừng tiêu thụ vô độ trước khi hóa đơn đến.

CGB-4 · 6 kiểm soát

Kiểm toán & Bằng chứng

Các tuyên bố quản trị chỉ mạnh bằng các hồ sơ đằng sau chúng. Cái gì được ghi nhật ký, cách nó được bảo vệ, và liệu bên thứ ba có thể xác minh nó hay không.

CGB-5 · 5 kiểm soát

Phạm vi Truy cập

Một agent có thể truy cập những gì, dưới thẩm quyền của ai? Giới hạn hệ thống tệp, thực thi lệnh, mạng và bề mặt công cụ — trợ lý, chứ không phải shell root chưa được kiểm toán.

CGB-6 · 5 kiểm soát

Vòng đời & Lưu giữ

Bộ nhớ đệm (Caches), kho lưu trữ phiên (session stores), bộ nhớ dài hạn, kiến thức chia sẻ: cách trạng thái tích lũy được giới hạn, hết hạn, xóa và giữ trung thực theo thời gian.

Điểm số

Bốn cấp độ, không C0 nào để che giấu.

Kiểm soát điểm đạt (Met) (1.0), Một phần (Partial) (0.5, mô tả khoảng trống) hoặc Không đạt (Not met) (0). Điểm của một cấp độ là tổng điểm trên các kiểm soát áp dụng. Cấp độ là ngưỡng cao nhất mà pipeline vượt qua — dưới C1 thì đơn giản là chưa được xếp hạng.

C1

Foundational

Basic ≥ 75%

C2

Managed

Cơ bản ≥ 90% và Tăng cường ≥ 50%

C3

Hardened

Cơ bản = 100%, Tăng cường ≥ 80%, Kiểm toán ≥ 40%, mọi kiểm soát Đạt đều liên kết bằng chứng

C4

Audited

Cơ bản = 100%, Tăng cường = 100%, Kiểm toán ≥ 80%, được xác minh độc lập

Từ C3 trở lên, mọi tuyên bố Đạt đều liên kết bằng chứng mà người đánh giá có thể mở. Từ C4, bản đánh giá tự thân được xác minh độc lập — tự đánh giá dừng lại ở C3 theo thiết kế.

LeanCTX, đã được đánh giá

Chúng tôi tự đánh giá C2 — và chỉ ra các lỗ hổng.

Đặc tả không phụ thuộc vào công cụ; phần này thì có. LeanCTX tự đánh giá dựa trên v1.0-draft ở mức C2 — Managed: Basic 96% · Hardened 80% · Audited 50%. Nơi nào tuyên bố không thể được xác minh bằng thực tế, kiểm soát sẽ bị hạ cấp, chứ không phải nâng cấp.

Các lỗ hổng đã công bố bao gồm CGB-1.4 (phạm vi che giấu fail-closed là thông lệ, không được chứng minh cấu trúc bởi cổng CI) và một số kiểm soát cấp Audited đang chờ xác minh của bên thứ ba. Các phát hiện đầy đủ theo từng kiểm soát — bao gồm mọi Partial và Not met — có trong bản tự đánh giá công khai.

Đánh giá thiết lập của bạn: lean-ctx policy coverage --benchmark cgb kiểm tra tĩnh gói chính sách đã được giải quyết của bạn so với các kiểm soát có thể kiểm thử — các fixture tổng hợp, không phải tin tưởng theo tên mẫu.

Governance

Có phiên bản giống như một đặc tả.

ID kiểm soát là vĩnh viễn và không bao giờ được tái sử dụng. Các thay đổi về mặt nội dung sẽ trải qua quy trình RFC-light với cửa sổ bình luận 14 ngày và ghi lại sự bất đồng ý kiến. Danh mục này được sửa đổi hàng năm; các bản nháp luôn được gắn nhãn. Giấy phép: CC-BY 4.0.

Ban đánh giá — kêu gọi mở. v1.0-final sẽ được phát hành khi ≥ 3 người đánh giá bên ngoài có tên (chuyên gia bảo mật, tuân thủ hoặc kỹ thuật nền tảng, không liên quan đến lợi ích thương mại của một nhà cung cấp duy nhất) đã xem xét mọi lĩnh vực. Các người đánh giá được nêu tên trên đặc tả được phát hành. Tình nguyện qua một vấn đề →

FAQ

Tiêu chuẩn đo lường, được giải đáp.

Context Governance Benchmark là gì?

Một danh mục có phiên bản, không phụ thuộc vào công cụ gồm 32 kiểm soát có thể đo lường trên 6 lĩnh vực (độ nhạy & che giấu, nguồn gốc, kiểm soát ngân sách, kiểm toán & bằng chứng, phạm vi truy cập, vòng đời & lưu giữ) xác định một pipeline context được quản lý là gì — giống như cách CIS Benchmarks xác định một máy chủ đã được tăng cường là gì. Nó được xuất bản theo CC-BY 4.0 và được chấm điểm thành bốn cấp độ trưởng thành, từ C1 đến C4.

CGB có phải là tiêu chuẩn LeanCTX không?

Các quản maintainer của LeanCTX chỉnh sửa đặc tả, nhưng các kiểm soát cố ý trung lập với công cụ: không khái niệm nào của LeanCTX xuất hiện trong bất kỳ kiểm soát nào, một linter tính trung lập thực thi điều đó trong CI, và bất kỳ pipeline nội bộ hoặc nhà cung cấp nào cũng có thể tự đánh giá. LeanCTX xuất bản bản tự đánh giá riêng — bao gồm cả các lỗ hổng.

Bản thân LeanCTX tự chấm điểm những gì?

Đối với v1.0-draft, LeanCTX tự đánh giá ở mức C2 — Managed (Basic 96%, Hardened 80%, Audited 50%), với các lỗ hổng được công bố: trong đó, phạm vi che giấu fail-closed là thông lệ hơn là được chứng minh cấu trúc, và một số kiểm soát cấp Audited cần xác minh của bên thứ ba. Một điểm tự đánh giá hoàn hảo sẽ nói nhiều về việc đánh giá hơn là về sản phẩm.

v1.0 đã là bản cuối cùng chưa?

Không — v1.0-draft đã được xuất bản và mở để xem xét. Bản phát hành sẽ trở thành v1.0-final khi ít nhất ba người đánh giá bên ngoài có tên (chuyên gia bảo mật, tuân thủ hoặc kỹ thuật nền tảng) đã xem xét mọi lĩnh vực. Cho đến lúc đó, các đánh giá phải trích dẫn trạng thái bản nháp. Muốn làm người đánh giá? Mở một vấn đề trong kho lưu trữ đặc tả.

Làm thế nào để tôi tự đánh giá pipeline của mình?

Clone đặc tả, xem xét 32 kiểm soát với mẫu đánh giá, và chấm điểm từng kiểm soát là Met, Partial, Not met hoặc N/A bằng phương pháp đo lường đã nêu. Người dùng LeanCTX có thể tự động hóa một phần: <code class="font-mono">lean-ctx policy coverage --benchmark cgb</code> kiểm tra tĩnh gói chính sách đã được giải quyết so với các kiểm soát có thể kiểm thử và in kết quả theo từng kiểm soát.

Quản lý lớp cung cấp cho các mô hình của bạn.

Đọc đặc tả, đánh giá quy trình làm việc của bạn, báo cáo sự cố — hoặc xem cách LeanCTX triển khai các điều khiển này tại chỗ, miễn phí mãi mãi. CGB định nghĩa các điều khiển; Open Context Protocol định nghĩa định dạng dây; ánh xạ tuân thủ kết nối cả hai với EU AI Act, ISO 42001 và SOC 2.