SLSA Build Level 3
各リリースバイナリはGitHub Actionsにより、slsa-github-generatorを介したSLSA出所証明とともにビルドされます。証明は、バイナリがコミットされたソースから、強化されたビルド環境で、手動介入なしにビルドされたことを証明します。
検証の仕組み機械翻訳です。正式な情報源は英語版であり、ネイティブによる確認は未完了です。
セキュリティ · 信頼
すべての公開リリースは署名、証明され、ソフトウェア部品表とともに出荷されます — 私たちを信頼するのではなく、公開ツールで出所と完全性を検証できます。パイプラインは今日すでに構築済みでCIで実行されています。その証拠は最初のリリースとともに公開されます。
サプライチェーン
リリースパイプラインはこれらのアーティファクトを自動生成します。公開リリースはまだ存在しません — 「初回リリース」とマークされた項目は、最初のタグ付きリリースが公開された時点で検証可能になります。security.txtは今日すでにライブです。
各リリースバイナリはGitHub Actionsにより、slsa-github-generatorを介したSLSA出所証明とともにビルドされます。証明は、バイナリがコミットされたソースから、強化されたビルド環境で、手動介入なしにビルドされたことを証明します。
検証の仕組みリリースアーティファクトはSigstore cosign(Fulcio + Rekorによるキーレスモード)で署名されます。公開鍵を配布する必要なく署名を検証できます — 透明性ログが信頼のルートです。
検証ガイド各リリースにはCycloneDXおよびSPDX形式のSBOMが含まれ、すべての依存関係とそのバージョン、ライセンスが記載されています。機械可読、監査可能。
SBOMの検証方法既知の脆弱性とその各リリースへの適用可能性はOpenVEXドキュメントとして公開されます。VEXステートメントは「影響あり」「影響なし」「調査中」を区別します。
アドバイザリの検証方法RFC 9116に準拠した、/.well-known/security.txtにある機械可読の脆弱性開示ポリシー。連絡先、ポリシーリンク、有効期限を含みます。
security.txtを表示アーキテクチャ
不明な状態は許可ではなく拒否されます。すべてのポリシー決定はデフォルトで拒否 — ポリシーストアに到達できないエンジンは、オープンフェイルするのではなく、すべてのリクエストを拒否します。
監査台帳は暗号的チェーンを持つ追記専用です。イベントは黙って変更または削除できません — 改ざんはチェーンを破壊し、検出可能です。
エンジンはお客様の環境内で完全に動作します。ライセンス検証はオフライン(Ed25519署名チェック)です。テレメトリなし、必須のネットワーク呼び出しなし、アクティベーションサーバーなし。
CedarベースのRBACとABAC(スコープ付き付与)。カスタムロール、委任上限、デュアルコントロール付きブレークグラス。デフォルトの権限セットは空です。
コンプライアンス
ライブなもの、構築済みで最初の公開リリースを待っているもの、まだ開始していないものを公開しています。取得していない認証を主張しません。
RFC 9116 security.txt
機械可読の脆弱性開示ポリシー。/.well-known/security.txtでライブです。
SLSA Build Level 3
slsa-github-generatorを介した出所証明 — 構築済みでCIで実行されており、タグ付きリリースごとに公開されます。
SBOM (CycloneDX + SPDX)
すべてのリリースビルドで生成されるソフトウェア部品表。
キーレスcosign署名
Fulcio + Rekorを介したSigstoreベースのアーティファクト署名。
OpenVEXアドバイザリ
リリースごとの脆弱性適用可能性ステートメント。
SOC 2 Type II
計画中。マネージドクラウドに必要、セルフホストには不要。
ISO 27001
計画中。スケジュール未確定。
独立ペネトレーションテスト
計画中。完了次第公開予定。
フレームワーク準備状況
本製品は25のコンプライアンスフレームワークカタログに対して機能をマッピングしています。以下はエンタープライズバイヤーから最もリクエストの多いフレームワークの準備態勢です。各項目は準備マッピングであり、認証ではありません。
附属書Aコントロールマッピングとエビデンスポインター。未認証。
AIMS準備マッピング — 本製品はAIMSが必要とするエビデンスを生成します。未認証。
Trust Services Criteria(Security / Common Criteria)マッピング。未認証。
附属書IV技術文書テンプレート。本製品はガバナンスツールであり、附属書IIIシステムではありません。
CAIQ v4およびAI-CAIQ(AICM v1.0)自己評価を準備済み。STAR Registryには未提出。
crypto-shred付きRTBFランブック、レジデンシー証明、保持および法的保持。セルフホスト:顧客がコントローラーかつプロセッサー。
生成AIプロファイル(AI 600-1)を含むサブカテゴリーマッピング。
ICTリスクビューのエクスポート。情報レジスタージェネレーターはエンタープライズアドオン。
ICTサプライチェーン態勢およびインシデント報告エビデンス付きの義務マッピング。
トラストパッケージ
トラストパッケージはソースリポジトリに公開されています。エンタープライズバイヤーは、事前記入済みのアンケートや評価ガイドを含む完全なパッケージをenterprise@olivares.aiからリクエストできます。
公開可能なファイルは、出典情報付きのMarkdownスナップショットです。共有可能なソースがない項目は、引き続きリクエストに応じて提供します。
file:lineエビデンスによる脅威モデル検証 — ペネトレーションテスト対応。
リクエストに応じて提供データ処理
Olivares AIはセルフホストソフトウェアです。製品はお客様のインフラストラクチャ内で完全に動作します — データがお客様のペリメーターを離れることはありません。顧客データのサブプロセッサーは存在しません。LLMプロバイダーは私たちのベンダーではなくお客様のベンダーです。製品はお客様のサードパーティリスク管理のためにそれらを棚卸しします。
マネージドクラウドの提供が導入される場合、データ処理が開始される前にサブプロセッサーがここに一覧表示されます。
当社のWebサイト、ライセンス、コミュニケーションには以下を利用しています。
Webサイトのホスティング、DNS、ボット対策。
トランザクションメールとニュースレター配信。
商用ライセンスのMerchant of Record。
ソースコードのホスティングとコミュニティ。
クライアント側の分析プロバイダーは使用せず、ブラウザ内分析も実行しません。
ご自身で検証
最初の公開リリース以降、このページのすべてのアーティファクトに関する主張は公開ツールで検証可能です — 同梱スクリプトが署名、証明、SBOMの完全性を順に確認します。まずアーティファクトをダウンロードしてください。インストーラーをシェルにパイプすることは決してしないでください。
# 最初の公開リリースに同梱 — リリースアーティファクトを
# ダウンロードし、そのディレクトリから同梱のベリファイアーを実行:
scripts/verify-release.sh # キーレス(Sigstore)
scripts/verify-release.sh --key cosign.pub --offline # エアギャップ、ネットワークなし このスクリプトはcosign署名、SLSA出所証明、SBOMおよびOpenVEX証明を確認します。完全な手動コマンドチェーンは、ドキュメントのリリース検証ガイドに記載されています。
デモ環境を5分でデプロイし、10営業日で完全な価値実証を実行します。評価ガイドには実際のバイナリに対するpass/fail基準が含まれます — スライドなし、サンドボックスなし、本番環境と異なるデモ環境なし。
まだありません。SOC 2 Type IIはマネージドクラウドティア向けに計画中です。私たちは姿勢について正直です: サプライチェーンパイプライン(SLSA L3、SBOM、cosign、OpenVEX)は構築済みであり、その証拠は最初の公開リリースとともに公開されます。
まだです。独立したペネトレーションテストが計画されており、完了次第公開されます。
最初の公開リリースが出荷された後は、同梱の検証スクリプト(scripts/verify-release.sh)を実行するか、cosignで手動で検証してください — すべてのリリースにSLSA出所証明とcosign署名があり、私たちへの信頼は不要です。それまでは検証すべき公開アーティファクトは存在せず、このページはそれを偽るのではなく、そのままお伝えしています。
Olivares AIはセルフホストです — データはお客様自身のインフラストラクチャに留まります。ベンダーがデータを閲覧、保存、処理することはありません。マネージドクラウド(利用可能時)はデータレジデンシーのコミットメントを提供します。
DPAは法務レビュー中です。個人データの処理を伴う契約を開始する前に、enterprise@olivares.aiを通じてリクエストに応じて提供します。
本製品はEU AI Act、NIST AI RMF、ISO 42001、SOC 2、ISO 27001、GDPR、NIS 2、DORA、OWASP Agentic、CSA AICMおよび米国各州のAI法を含む25のフレームワークカタログをマッピングしています。各フレームワークはコントロールごとのエビデンスを持つデータであり、認証の主張ではありません。
ソースからビルドし、5分でデモ環境を起動し、10日間の評価ガイドに従ってください。すべての基準は実際のバイナリに対するpass/failです。POV中に26のアドオンをアンロックするエンタープライズ評価ライセンスについてはenterprise@olivares.aiにお問い合わせください。
AGPLビルドは完全なプラットフォームです — 何も削除されていません。Enterpriseはリスク軽減およびスケール運用の26の機能(マルチIdP、コンテンツファイアウォール、WORM保持、DORAレジスター等)に加え、AGPLコピーレフトの法的例外とSLA付きサポートを追加します。完全な機能マトリックスはトラストパッケージにあります。
すべての公開リリースは署名、証明、文書化されて出荷されます — ご自身で完全性を検証してください。証拠は最初のリリースから公開されます。