본문으로 건너뛰기

기계 번역입니다. 정식 기준은 영어판이며, 원어민 검수는 아직 완료되지 않았습니다.

보안 · 신뢰

신뢰하지 말고, 검증 하세요.

모든 공개 릴리스는 서명, 인증되며 소프트웨어 자재 명세서와 함께 제공됩니다 — 저희를 신뢰하는 대신 공개 도구로 출처와 무결성을 직접 검증하세요. 파이프라인은 오늘 이미 구축되어 CI에서 실행되고 있으며, 그 증거는 첫 번째 릴리스와 함께 공개됩니다.

공급망

모든 릴리스와 함께 제공되는 것

릴리스 파이프라인은 이러한 아티팩트를 자동으로 생성합니다. 아직 공개 릴리스는 없습니다 — "첫 릴리스"로 표시된 항목은 첫 번째 태그된 릴리스가 게시되는 순간 검증 가능해지며, security.txt는 오늘 라이브 상태입니다.

첫 릴리스

SLSA Build Level 3

각 릴리스 바이너리는 slsa-github-generator를 통한 SLSA 출처 인증과 함께 GitHub Actions에 의해 빌드됩니다. 인증은 바이너리가 커밋된 소스 코드로부터 강화된 빌드 환경에서 수동 개입 없이 빌드되었음을 증명합니다.

검증 작동 방식
첫 릴리스

키리스 cosign 서명

릴리스 아티팩트는 Sigstore cosign(Fulcio + Rekor를 통한 키리스 모드)으로 서명됩니다. 공개 키를 배포할 필요 없이 서명을 검증할 수 있습니다 — 투명성 로그가 신뢰의 근원입니다.

검증 가이드
첫 릴리스

소프트웨어 자재 명세서

각 릴리스에는 CycloneDX 및 SPDX 형식의 SBOM이 포함되며, 모든 종속성의 버전과 라이선스가 나열됩니다. 기계 판독 가능, 감사 가능.

SBOM 검증 방법
첫 릴리스

OpenVEX 권고

알려진 취약점과 각 릴리스에 대한 적용 가능성이 OpenVEX 문서로 게시됩니다. VEX 선언은 "영향 있음", "영향 없음", "조사 중"을 구분합니다.

권고 검증 방식
라이브

security.txt (RFC 9116)

RFC 9116을 준수하는 /.well-known/security.txt의 기계 판독 가능한 취약점 공개 정책. 연락처, 정책 링크, 만료 날짜를 포함합니다.

security.txt 보기

아키텍처

보안 바이 디자인

Deny-closed

알 수 없는 상태는 허용이 아닌 거부됩니다. 모든 정책 결정은 기본적으로 거부 — 정책 저장소에 도달할 수 없는 엔진은 오픈 페일하지 않고 모든 요청을 거부합니다.

추가 전용 감사

감사 원장은 암호화 체이닝을 갖춘 추가 전용입니다. 이벤트는 조용히 수정하거나 삭제할 수 없습니다 — 변조는 체인을 깨뜨리고 감지 가능합니다.

외부 통신 없음

엔진은 귀사의 환경에서 완전히 실행됩니다. 라이선스 검증은 오프라인(Ed25519 서명 확인)입니다. 텔레메트리 없음, 필수 네트워크 호출 없음, 활성화 서버 없음.

최소 권한

Cedar 기반 RBAC 및 ABAC(범위 지정 부여). 사용자 정의 역할, 위임 상한, 이중 제어 비상 접근. 기본 권한 집합은 비어 있습니다.

컴플라이언스

컴플라이언스 현황

저희는 라이브인 것, 구축되어 첫 번째 공개 릴리스를 기다리는 것, 아직 시작하지 않은 것을 공개합니다. 취득하지 않은 인증을 주장하지 않습니다.

오늘 라이브

  • RFC 9116 security.txt

    /.well-known/security.txt에서 라이브 상태인 기계 판독 가능한 취약점 공개 정책.

구축 완료 — 첫 릴리스와 함께 공개

  • SLSA Build Level 3

    slsa-github-generator를 통한 출처 인증 — 구축되어 CI에서 실행 중이며, 태그된 모든 릴리스와 함께 게시됩니다.

  • SBOM (CycloneDX + SPDX)

    모든 릴리스 빌드에 대해 생성되는 소프트웨어 자재 명세서.

  • 키리스 cosign 서명

    Fulcio + Rekor를 통한 Sigstore 기반 아티팩트 서명.

  • OpenVEX 권고

    릴리스별 취약점 적용 가능성 선언.

계획 중

  • SOC 2 Type II

    계획 중. 관리형 클라우드에 필요, 셀프호스팅에는 불필요.

  • ISO 27001

    계획 중. 일정 미확정.

  • 독립 침투 테스트

    계획 중. 완료 시 공개 예정.

프레임워크 준비 상태

컴플라이언스 태세

본 제품은 25개의 컴플라이언스 프레임워크 카탈로그에 기능을 매핑합니다. 아래는 엔터프라이즈 구매자가 가장 많이 요청하는 프레임워크의 준비 태세입니다. 각 항목은 준비 매핑이며 인증이 아닙니다.

준비 매핑 완료

ISO/IEC 27001:2022

부속서 A 통제 매핑과 증거 포인터. 미인증.

준비 매핑 완료

ISO/IEC 42001:2023

AIMS 준비 매핑 — 제품이 AIMS에 필요한 증거를 생성합니다. 미인증.

준비 매핑 완료

SOC 2 Type II

Trust Services Criteria (Security / Common Criteria) 매핑. 미인증.

준비 매핑 완료

EU AI Act

부속서 IV 기술 문서 템플릿. 본 제품은 거버넌스 도구이며 부속서 III 시스템이 아닙니다.

준비 매핑 완료

CSA STAR / AICM

CAIQ v4 및 AI-CAIQ (AICM v1.0) 자체 평가 준비 완료. STAR Registry에 미제출.

준비 매핑 완료

GDPR

crypto-shred 포함 RTBF 런북, 레지던시 인증, 보존 및 법적 보존. 셀프호스팅: 고객이 컨트롤러이자 프로세서.

준비 매핑 완료

NIST AI RMF 1.0

생성형 AI 프로파일 (AI 600-1)을 포함한 하위 카테고리 매핑.

부분적

DORA

ICT 위험 뷰 내보내기; 정보 레지스터 생성기는 엔터프라이즈 애드온.

준비 매핑 완료

NIS 2 지침

ICT 공급망 태세 및 사고 보고 증거 포함 의무 매핑.

신뢰 패키지

실사 문서

신뢰 패키지는 소스 저장소에 게시되어 있습니다. 엔터프라이즈 구매자는 사전 작성된 설문지와 평가 가이드를 포함한 전체 패키지를 enterprise@olivares.ai를 통해 요청할 수 있습니다.

제공 가능한 파일은 출처 정보가 포함된 공개 Markdown 스냅샷입니다. 공유 가능한 원본이 없는 항목은 요청 시 제공합니다.

설문지

CAIQ v4 자체 평가

CSA Cloud Controls Matrix v4 — 증거 포인터 포함 17개 도메인.

다운로드(Markdown)
설문지

AI-CAIQ / AICM 자체 평가

CSA AI Controls Matrix v1.0 — Model Security 포함 18개 도메인.

다운로드(Markdown)
설문지

보안 설문 응답 뱅크

SIG 2026, CSA AI-CAIQ 및 일반 구매자 설문지에 맞춘 33개의 사전 검증된 응답.

다운로드(Markdown)
아키텍처

레퍼런스 아키텍처

구매자 지향 아키텍처: 3개의 신뢰 영역, 배포 토폴로지, HA/DR, 사이징.

다운로드(Markdown)
평가

평가 가이드

10 영업일 내 가치 증명 — 실제 바이너리 대비 pass/fail 기준.

다운로드(Markdown)
상용

기능 매트릭스

Community (AGPL) vs Enterprise 전체 비교 — 26개 애드온 전체.

다운로드(Markdown)
보안

하드닝 가이드

file:line 증거를 통한 위협 모델 검증 — 침투 테스트 준비 완료.

요청 시 제공
접근성

VPAT

관리 콘솔용 Voluntary Product Accessibility Template.

다운로드(Markdown)

데이터 처리

하위 처리자

Olivares AI는 셀프호스팅 소프트웨어입니다. 제품은 전적으로 귀사의 인프라에서 실행됩니다 — 데이터가 귀사의 경계를 떠나지 않습니다. 고객 데이터의 하위 처리자는 없습니다. LLM 제공업체는 저희가 아닌 귀사의 벤더입니다. 제품은 귀사의 서드파티 위험 관리를 위해 이를 목록화합니다.

관리형 클라우드 서비스가 도입되는 경우, 데이터 처리가 시작되기 전에 하위 처리자가 여기에 나열됩니다.

공급업체 서비스

당사의 웹사이트, 라이선스 및 커뮤니케이션은 다음 서비스를 사용합니다.

Cloudflare

사용 중

웹사이트 호스팅, DNS 및 봇 차단.

Resend

출시 시점부터

트랜잭션 이메일 및 뉴스레터 전송.

Polar

상용 제공 시점부터

상용 라이선스의 판매자 대행.

GitHub

사용 중

소스 호스팅 및 커뮤니티.

클라이언트 측 분석 공급자를 사용하지 않으며 브라우저에서 분석을 실행하지 않습니다.

직접 검증

저희 말만 믿지 마세요

첫 번째 공개 릴리스부터 이 페이지의 모든 아티팩트 주장은 공개 도구로 검증 가능합니다 — 번들된 스크립트가 서명, 인증, SBOM 무결성을 확인합니다. 먼저 아티팩트를 다운로드하세요. 설치 프로그램을 절대 셸에 파이프하지 마세요.

# 첫 번째 공개 릴리스와 함께 제공됩니다 — 릴리스 아티팩트를
# 다운로드한 다음, 해당 디렉토리에서 번들된 검증기를 실행하세요:
scripts/verify-release.sh                              # 키리스 (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # 에어갭, 네트워크 없음

스크립트는 cosign 서명, SLSA 출처, SBOM 및 OpenVEX 인증을 확인합니다. 전체 수동 명령 체인은 문서의 릴리스 검증 가이드에 기록되어 있습니다.

엔터프라이즈 평가

데모 환경을 5분 내에 배포한 다음, 10 영업일 동안 전체 가치 증명을 실행합니다. 평가 가이드에는 실제 바이너리에 대한 pass/fail 기준이 포함됩니다 — 슬라이드 없음, 샌드박스 없음, 프로덕션과 다른 데모 환경 없음.

신뢰 관련 질문

SOC 2 또는 ISO 27001이 있습니까?

아직 없습니다. SOC 2 Type II는 관리형 클라우드 티어를 위해 계획 중입니다. 저희는 현황에 대해 솔직합니다: 공급망 파이프라인(SLSA L3, SBOM, cosign, OpenVEX)은 구축되어 있으며, 그 증거는 첫 번째 공개 릴리스와 함께 공개됩니다.

제품의 침투 테스트가 수행되었습니까?

아직입니다. 독립적인 침투 테스트가 계획되어 있으며 완료 시 공개됩니다.

릴리스가 정품인지 어떻게 확인합니까?

첫 번째 공개 릴리스가 게시된 후: 번들된 검증 스크립트(scripts/verify-release.sh)를 실행하거나 cosign으로 수동 검증하세요 — 모든 릴리스에 SLSA 출처 인증과 cosign 서명이 포함되며, 저희에 대한 신뢰가 필요하지 않습니다. 그때까지는 검증할 공개 아티팩트가 없으며, 이 페이지는 그렇지 않은 척하는 대신 이를 명시합니다.

데이터는 어디에 저장됩니까?

Olivares AI는 셀프호스팅입니다 — 데이터는 귀사 자체 인프라에 남습니다. 벤더는 데이터를 보거나 저장하거나 처리하지 않습니다. 관리형 클라우드(제공 시)는 데이터 레지던시 약속을 제공합니다.

DPA를 제공하나요?

DPA는 법무 검토 중입니다. 개인정보 처리와 관련된 계약을 시작하기 전에 enterprise@olivares.ai를 통해 요청하면 제공합니다.

제품은 어떤 컴플라이언스 프레임워크를 지원합니까?

본 제품은 EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM 및 미국 주별 AI 법률을 포함한 25개 프레임워크 카탈로그를 매핑합니다. 각 프레임워크는 통제별 증거가 포함된 데이터이며 인증 주장이 아닙니다.

제품을 어떻게 평가합니까?

소스에서 빌드하고 5분 내에 데모 환경을 기동한 다음 10일 평가 가이드를 따르세요. 모든 기준은 실제 바이너리에 대한 pass/fail입니다. POV 기간 동안 26개 애드온을 잠금 해제하는 엔터프라이즈 평가 라이선스에 대해서는 enterprise@olivares.ai로 문의하세요.

Community와 Enterprise의 차이점은 무엇입니까?

AGPL 빌드는 완전한 플랫폼입니다 — 제거된 것이 없습니다. Enterprise는 26개의 위험 완화 및 대규모 운영 기능(멀티 IdP, 콘텐츠 방화벽, WORM 보존, DORA 레지스터 등)과 AGPL 카피레프트에 대한 법적 예외 및 SLA 기반 지원을 추가합니다. 전체 기능 매트릭스는 신뢰 패키지에 있습니다.

보안은 투명성에서 시작됩니다

모든 공개 릴리스는 서명, 인증, 문서화되어 제공됩니다 — 직접 무결성을 검증하세요. 증거는 첫 번째 릴리스부터 공개됩니다.