Zum Inhalt springen

Sicherheit · Vertrauen

Überprüfen , nicht vertrauen.

Jede öffentliche Version wird signiert, attestiert und mit einer Software-Stückliste ausgeliefert — Sie überprüfen Herkunft und Integrität mit öffentlichen Werkzeugen, statt uns vertrauen zu müssen. Die Pipeline ist gebaut und wird heute in CI ausgeführt; ihre Nachweise werden mit der ersten Version öffentlich.

Lieferkette

Was mit jeder Version ausgeliefert wird

Die Release-Pipeline generiert diese Artefakte automatisch. Es existiert noch keine öffentliche Version — als „Erste Version" markierte Einträge werden in dem Moment überprüfbar, in dem die erste getaggte Version veröffentlicht wird; security.txt ist heute live.

Erste Version

SLSA Build Level 3

Jeder Release-Binär wird von GitHub Actions mit SLSA-Herkunftsattestierung über slsa-github-generator erstellt. Die Attestierung beweist, dass der Binär aus dem eingegebenen Quellcode in einer gehärteten Build-Umgebung ohne manuelle Eingriffe erstellt wurde.

Wie die Überprüfung funktioniert
Erste Version

Schlüssellose Cosign-Signaturen

Release-Artefakte werden mit Sigstore Cosign signiert (schlüsselloser Modus über Fulcio + Rekor). Sie können Signaturen überprüfen, ohne dass wir einen öffentlichen Schlüssel verteilen — das Transparenzprotokoll ist die Vertrauensbasis.

Überprüfungsleitfaden
Erste Version

Software-Stückliste

Jede Version enthält SBOM in CycloneDX- und SPDX-Formaten mit Auflistung jeder Abhängigkeit mit Version und Lizenz. Maschinenlesbar, prüfbar.

Wie das SBOM überprüft wird
Erste Version

OpenVEX-Hinweise

Bekannte Schwachstellen und ihre Anwendbarkeit auf jede Version werden als OpenVEX-Dokumente veröffentlicht. VEX-Aussagen unterscheiden zwischen „betroffen", „nicht betroffen" und „in Untersuchung".

Wie Hinweise überprüft werden
Live

security.txt (RFC 9116)

Eine maschinenlesbare Richtlinie zur Offenlegung von Schwachstellen unter /.well-known/security.txt gemäß RFC 9116. Enthält Kontakt, Richtlinienlink und Ablaufdatum.

security.txt ansehen

Architektur

Sicherheit durch Design

Deny-Closed

Unbekannter Status wird verweigert, nicht erlaubt. Jede Richtlinienentscheidung verwendet standardmäßig Verweigerung — eine Engine, die ihren Richtlinienspeicher nicht erreichen kann, lehnt alle Anfragen ab, anstatt offen zu versagen.

Nur-Anhängen-Audit

Das Auditprotokoll ist nur-anhängend mit kryptografischer Verkettung. Ereignisse können nicht still modifiziert oder gelöscht werden — Manipulation bricht die Kette und ist erkennbar.

Kein Phone-Home

Die Engine läuft vollständig in Ihrer Umgebung. Die Lizenzüberprüfung ist offline (Ed25519-Signaturprüfung). Keine Telemetrie, keine obligatorischen Netzwerkaufrufe, kein Aktivierungsserver.

Geringstes Privileg

Cedar-basiertes RBAC und ABAC mit begrenzten Genehmigungen. Benutzerdefinierte Rollen, Delegationsobergrenzen und Notfallzugang mit Doppelkontrolle. Der Standard-Berechtigungssatz ist leer.

Compliance

Compliance-Status

Wir veröffentlichen, was live ist, was gebaut ist und auf die erste öffentliche Version wartet, und was noch nicht begonnen wurde. Wir beanspruchen keine Zertifizierungen, die wir nicht erlangt haben.

Heute live

  • RFC 9116 security.txt

    Maschinenlesbare Richtlinie zur Offenlegung von Schwachstellen, live unter /.well-known/security.txt.

Gebaut — öffentlich mit der ersten Version

  • SLSA Build Level 3

    Herkunftsattestierung über slsa-github-generator — gebaut und in CI ausgeführt; wird mit jeder getaggten Version veröffentlicht.

  • SBOM (CycloneDX + SPDX)

    Software-Stückliste, die für jeden Release-Build generiert wird.

  • Schlüssellose Cosign-Signaturen

    Sigstore-basierte Artefaktsignierung über Fulcio + Rekor.

  • OpenVEX-Hinweise

    Anwendbarkeitserklärungen für Schwachstellen pro Version.

Geplant

  • SOC 2 Type II

    Geplant. Erforderlich für die verwaltete Cloud, nicht für Self-Hosting.

  • ISO 27001

    Geplant. Zeitplan nicht festgelegt.

  • Unabhängiger Penetrationstest

    Geplant. Wird nach Abschluss veröffentlicht.

Framework-Bereitschaft

Compliance-Postur

Das Produkt bildet Fähigkeiten auf 25 Compliance-Framework-Kataloge ab. Nachfolgend die Bereitschaftspostur für die von Enterprise-Käufern am häufigsten nachgefragten Frameworks. Jeder Eintrag ist eine Bereitschaftszuordnung — keine Zertifizierung.

Bereitschaft zugeordnet

ISO/IEC 27001:2022

Zuordnung der Anhang-A-Kontrollen mit Nachweisverweisen. Nicht zertifiziert.

Bereitschaft zugeordnet

ISO/IEC 42001:2023

AIMS-Bereitschaftszuordnung — das Produkt generiert die Nachweise, die ein AIMS erfordert. Nicht zertifiziert.

Bereitschaft zugeordnet

SOC 2 Type II

Zuordnung der Trust Services Criteria (Security / Common Criteria). Nicht attestiert.

Bereitschaft zugeordnet

EU AI Act

Vorlage für die technische Dokumentation nach Anhang IV. Das Produkt ist Governance-Tooling, nicht selbst ein System nach Anhang III.

Bereitschaft zugeordnet

CSA STAR / AICM

Selbstbewertungen CAIQ v4 und AI-CAIQ (AICM v1.0) vorbereitet. Nicht beim STAR Registry eingereicht.

Bereitschaft zugeordnet

GDPR

RTBF-Runbook mit Crypto-Shred, Residenz-Attestierung, Aufbewahrung und Legal Hold. Self-hosted: der Kunde ist Verantwortlicher und Auftragsverarbeiter.

Bereitschaft zugeordnet

NIST AI RMF 1.0

Unterkategorie-Zuordnung einschließlich des Generative-AI-Profils (AI 600-1).

Teilweise

DORA

Export der ICT-Risikoansicht; der Generator für das Informationsregister ist ein Enterprise-Add-on.

Bereitschaft zugeordnet

NIS-2-Richtlinie

Pflichtenzuordnung mit ICT-Lieferketten-Postur und Nachweisen zur Vorfallmeldung.

Vertrauenspaket

Due-Diligence-Dokumente

Das Vertrauenspaket ist im Quellcode-Repository veröffentlicht. Enterprise-Käufer können das vollständige Paket anfordern — einschließlich vorausgefüllter Fragebögen und des Evaluierungsleitfadens — über enterprise@olivares.ai.

Verfügbare Dateien sind öffentliche Markdown-Snapshots mit Quellenangabe. Elemente ohne teilbare Quelle bleiben auf Anfrage verfügbar.

Fragebogen

CAIQ v4 Selbstbewertung

CSA Cloud Controls Matrix v4 — 17 Domänen mit Nachweisverweisen.

Herunterladen (Markdown)
Fragebogen

AI-CAIQ / AICM Selbstbewertung

CSA AI Controls Matrix v1.0 — 18 Domänen einschließlich Model Security.

Herunterladen (Markdown)
Fragebogen

Antwortbank für Sicherheitsfragebögen

33 vorgeprüfte Antworten, ausgerichtet auf SIG 2026, CSA AI-CAIQ und gängige Käuferfragebögen.

Herunterladen (Markdown)
Architektur

Referenzarchitektur

Käuferorientierte Architektur: drei Vertrauenszonen, Bereitstellungstopologien, HA/DR, Dimensionierung.

Herunterladen (Markdown)
Evaluierung

Evaluierungsleitfaden

Wertnachweis in 10 Geschäftstagen — Pass/Fail-Kriterien gegen den echten Binär.

Herunterladen (Markdown)
Kommerziell

Feature-Matrix

Vollständiger Vergleich Community (AGPL) vs Enterprise — alle 26 Add-ons.

Herunterladen (Markdown)
Sicherheit

Härtungsleitfaden

Bedrohungsmodell-Verifizierung mit file:line-Nachweisen — pentest-bereit.

Auf Anfrage verfügbar
Barrierefreiheit

VPAT

Voluntary Product Accessibility Template für die Admin-Konsole.

Herunterladen (Markdown)

Datenverarbeitung

Unterauftragsverarbeiter

Olivares AI ist selbst gehostete Software. Das Produkt läuft vollständig in Ihrer Infrastruktur — Daten verlassen niemals Ihren Perimeter. Es gibt keine Unterauftragsverarbeiter von Kundendaten. LLM-Anbieter sind Ihre Lieferanten, nicht unsere; das Produkt inventarisiert sie für Ihr Drittpartei-Risikomanagement.

Falls ein verwaltetes Cloud-Angebot eingeführt wird, werden Unterauftragsverarbeiter hier aufgelistet, bevor eine Datenverarbeitung beginnt.

Dienste des Anbieters

Unsere Website, Lizenzierung und Kommunikation laufen über:

Cloudflare

Aktiv

Website-Hosting, DNS und Bot-Schutz.

Resend

Ab Start

Transaktions-E-Mails und Newsletter-Zustellung.

Polar

Ab kommerzieller Verfügbarkeit

Merchant of Record für kommerzielle Lizenzen.

GitHub

Aktiv

Quellcode-Hosting und Community.

Wir nutzen keinen clientseitigen Analytics-Anbieter und führen keine clientseitige Analyse aus.

Selbst überprüfen

Nehmen Sie uns nicht beim Wort

Ab der ersten öffentlichen Version ist jede Artefakt-Behauptung auf dieser Seite mit öffentlichen Werkzeugen überprüfbar — das mitgelieferte Skript durchläuft Signaturen, Attestierungen und SBOM-Integrität. Laden Sie zuerst die Artefakte herunter; pipen Sie niemals einen Installer in eine Shell.

# Wird mit der ersten öffentlichen Version ausgeliefert — laden Sie die
# Release-Artefakte herunter und führen Sie dann den mitgelieferten Verifier aus diesem Verzeichnis aus:
scripts/verify-release.sh                              # schlüssellos (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # air-gapped, ohne Netzwerk

Das Skript prüft Cosign-Signaturen, SLSA-Herkunft sowie die SBOM- und OpenVEX-Attestierungen. Die vollständige manuelle Befehlskette ist im Leitfaden „Einen Release verifizieren" in der Dokumentation beschrieben.

Enterprise-Evaluierung

Stellen Sie die Demo-Umgebung in fünf Minuten bereit und führen Sie dann den vollständigen Wertnachweis in 10 Geschäftstagen durch. Der Evaluierungsleitfaden enthält Pass/Fail-Kriterien gegen den echten Binär — keine Folien, keine Sandbox, keine Demo-Umgebung, die sich von der Produktion unterscheidet.

Vertrauensfragen

Haben Sie SOC 2 oder ISO 27001?

Noch nicht. SOC 2 Type II ist für die verwaltete Cloud geplant. Wir sind ehrlich über unseren Stand: Die Supply-Chain-Pipeline (SLSA L3, SBOM, Cosign, OpenVEX) ist gebaut, und ihre Nachweise werden mit der ersten öffentlichen Version veröffentlicht.

Wurde das Produkt einem Penetrationstest unterzogen?

Noch nicht. Ein unabhängiger Penetrationstest ist geplant und wird nach Abschluss veröffentlicht.

Wie überprüfe ich, ob eine Version authentisch ist?

Sobald die erste öffentliche Version erschienen ist: Führen Sie das mitgelieferte Überprüfungsskript (scripts/verify-release.sh) aus oder überprüfen Sie manuell mit Cosign — jede Version trägt eine SLSA-Herkunftsattestierung und Cosign-Signaturen, kein Vertrauen in uns erforderlich. Bis dahin gibt es kein öffentliches Artefakt zu überprüfen, und diese Seite sagt das, statt etwas anderes vorzutäuschen.

Wo werden meine Daten gespeichert?

Olivares AI ist selbst gehostet — Ihre Daten bleiben in Ihrer eigenen Infrastruktur. Der Anbieter sieht, speichert oder verarbeitet Ihre Daten nie. Die verwaltete Cloud (wenn verfügbar) wird Datenresidenz-Zusagen bieten.

Ist ein DPA verfügbar?

Der DPA wird derzeit rechtlich geprüft. Er ist vor jeder Zusammenarbeit mit Verarbeitung personenbezogener Daten auf Anfrage über enterprise@olivares.ai verfügbar.

Welche Compliance-Frameworks unterstützt das Produkt?

Das Produkt bildet 25 Framework-Kataloge ab, darunter EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM und US-amerikanische KI-Gesetze auf Bundesstaatsebene. Jedes Framework besteht aus Daten mit Nachweisen pro Kontrolle — keine Zertifizierungsbehauptung.

Wie evaluiere ich das Produkt?

Kompilieren Sie aus dem Quellcode, starten Sie die Demo-Umgebung in fünf Minuten und folgen Sie dem 10-Tage-Evaluierungsleitfaden. Jedes Kriterium ist Pass/Fail gegen den echten Binär. Kontaktieren Sie enterprise@olivares.ai für eine Enterprise-Evaluierungslizenz, die die 26 Add-ons während des POV freischaltet.

Was ist der Unterschied zwischen Community und Enterprise?

Der AGPL-Build ist die vollständige Plattform — nichts wird entfernt. Enterprise fügt 26 Risikominderungs- und Skalierungsfähigkeiten hinzu (Multi-IdP, Content-Firewall, WORM-Aufbewahrung, DORA-Register und mehr) plus eine rechtliche Ausnahme vom AGPL-Copyleft und SLA-gestützten Support. Die vollständige Feature-Matrix befindet sich im Vertrauenspaket.

Sicherheit beginnt mit Transparenz

Jede öffentliche Version wird signiert, attestiert und dokumentiert ausgeliefert — überprüfen Sie die Integrität selbst. Die Nachweise sind ab der ersten Version öffentlich.