SLSA Build Level 3
각 릴리스 바이너리는 slsa-github-generator를 통한 SLSA 출처 인증과 함께 GitHub Actions에 의해 빌드됩니다. 인증은 바이너리가 커밋된 소스 코드로부터 강화된 빌드 환경에서 수동 개입 없이 빌드되었음을 증명합니다.
검증 작동 방식기계 번역입니다. 정식 기준은 영어판이며, 원어민 검수는 아직 완료되지 않았습니다.
보안 · 신뢰
모든 공개 릴리스는 서명, 인증되며 소프트웨어 자재 명세서와 함께 제공됩니다 — 저희를 신뢰하는 대신 공개 도구로 출처와 무결성을 직접 검증하세요. 파이프라인은 오늘 이미 구축되어 CI에서 실행되고 있으며, 그 증거는 첫 번째 릴리스와 함께 공개됩니다.
공급망
릴리스 파이프라인은 이러한 아티팩트를 자동으로 생성합니다. 아직 공개 릴리스는 없습니다 — "첫 릴리스"로 표시된 항목은 첫 번째 태그된 릴리스가 게시되는 순간 검증 가능해지며, security.txt는 오늘 라이브 상태입니다.
각 릴리스 바이너리는 slsa-github-generator를 통한 SLSA 출처 인증과 함께 GitHub Actions에 의해 빌드됩니다. 인증은 바이너리가 커밋된 소스 코드로부터 강화된 빌드 환경에서 수동 개입 없이 빌드되었음을 증명합니다.
검증 작동 방식릴리스 아티팩트는 Sigstore cosign(Fulcio + Rekor를 통한 키리스 모드)으로 서명됩니다. 공개 키를 배포할 필요 없이 서명을 검증할 수 있습니다 — 투명성 로그가 신뢰의 근원입니다.
검증 가이드각 릴리스에는 CycloneDX 및 SPDX 형식의 SBOM이 포함되며, 모든 종속성의 버전과 라이선스가 나열됩니다. 기계 판독 가능, 감사 가능.
SBOM 검증 방법알려진 취약점과 각 릴리스에 대한 적용 가능성이 OpenVEX 문서로 게시됩니다. VEX 선언은 "영향 있음", "영향 없음", "조사 중"을 구분합니다.
권고 검증 방식RFC 9116을 준수하는 /.well-known/security.txt의 기계 판독 가능한 취약점 공개 정책. 연락처, 정책 링크, 만료 날짜를 포함합니다.
security.txt 보기아키텍처
알 수 없는 상태는 허용이 아닌 거부됩니다. 모든 정책 결정은 기본적으로 거부 — 정책 저장소에 도달할 수 없는 엔진은 오픈 페일하지 않고 모든 요청을 거부합니다.
감사 원장은 암호화 체이닝을 갖춘 추가 전용입니다. 이벤트는 조용히 수정하거나 삭제할 수 없습니다 — 변조는 체인을 깨뜨리고 감지 가능합니다.
엔진은 귀사의 환경에서 완전히 실행됩니다. 라이선스 검증은 오프라인(Ed25519 서명 확인)입니다. 텔레메트리 없음, 필수 네트워크 호출 없음, 활성화 서버 없음.
Cedar 기반 RBAC 및 ABAC(범위 지정 부여). 사용자 정의 역할, 위임 상한, 이중 제어 비상 접근. 기본 권한 집합은 비어 있습니다.
컴플라이언스
저희는 라이브인 것, 구축되어 첫 번째 공개 릴리스를 기다리는 것, 아직 시작하지 않은 것을 공개합니다. 취득하지 않은 인증을 주장하지 않습니다.
RFC 9116 security.txt
/.well-known/security.txt에서 라이브 상태인 기계 판독 가능한 취약점 공개 정책.
SLSA Build Level 3
slsa-github-generator를 통한 출처 인증 — 구축되어 CI에서 실행 중이며, 태그된 모든 릴리스와 함께 게시됩니다.
SBOM (CycloneDX + SPDX)
모든 릴리스 빌드에 대해 생성되는 소프트웨어 자재 명세서.
키리스 cosign 서명
Fulcio + Rekor를 통한 Sigstore 기반 아티팩트 서명.
OpenVEX 권고
릴리스별 취약점 적용 가능성 선언.
SOC 2 Type II
계획 중. 관리형 클라우드에 필요, 셀프호스팅에는 불필요.
ISO 27001
계획 중. 일정 미확정.
독립 침투 테스트
계획 중. 완료 시 공개 예정.
프레임워크 준비 상태
본 제품은 25개의 컴플라이언스 프레임워크 카탈로그에 기능을 매핑합니다. 아래는 엔터프라이즈 구매자가 가장 많이 요청하는 프레임워크의 준비 태세입니다. 각 항목은 준비 매핑이며 인증이 아닙니다.
부속서 A 통제 매핑과 증거 포인터. 미인증.
AIMS 준비 매핑 — 제품이 AIMS에 필요한 증거를 생성합니다. 미인증.
Trust Services Criteria (Security / Common Criteria) 매핑. 미인증.
부속서 IV 기술 문서 템플릿. 본 제품은 거버넌스 도구이며 부속서 III 시스템이 아닙니다.
CAIQ v4 및 AI-CAIQ (AICM v1.0) 자체 평가 준비 완료. STAR Registry에 미제출.
crypto-shred 포함 RTBF 런북, 레지던시 인증, 보존 및 법적 보존. 셀프호스팅: 고객이 컨트롤러이자 프로세서.
생성형 AI 프로파일 (AI 600-1)을 포함한 하위 카테고리 매핑.
ICT 위험 뷰 내보내기; 정보 레지스터 생성기는 엔터프라이즈 애드온.
ICT 공급망 태세 및 사고 보고 증거 포함 의무 매핑.
신뢰 패키지
신뢰 패키지는 소스 저장소에 게시되어 있습니다. 엔터프라이즈 구매자는 사전 작성된 설문지와 평가 가이드를 포함한 전체 패키지를 enterprise@olivares.ai를 통해 요청할 수 있습니다.
제공 가능한 파일은 출처 정보가 포함된 공개 Markdown 스냅샷입니다. 공유 가능한 원본이 없는 항목은 요청 시 제공합니다.
file:line 증거를 통한 위협 모델 검증 — 침투 테스트 준비 완료.
요청 시 제공데이터 처리
Olivares AI는 셀프호스팅 소프트웨어입니다. 제품은 전적으로 귀사의 인프라에서 실행됩니다 — 데이터가 귀사의 경계를 떠나지 않습니다. 고객 데이터의 하위 처리자는 없습니다. LLM 제공업체는 저희가 아닌 귀사의 벤더입니다. 제품은 귀사의 서드파티 위험 관리를 위해 이를 목록화합니다.
관리형 클라우드 서비스가 도입되는 경우, 데이터 처리가 시작되기 전에 하위 처리자가 여기에 나열됩니다.
당사의 웹사이트, 라이선스 및 커뮤니케이션은 다음 서비스를 사용합니다.
웹사이트 호스팅, DNS 및 봇 차단.
트랜잭션 이메일 및 뉴스레터 전송.
상용 라이선스의 판매자 대행.
소스 호스팅 및 커뮤니티.
클라이언트 측 분석 공급자를 사용하지 않으며 브라우저에서 분석을 실행하지 않습니다.
직접 검증
첫 번째 공개 릴리스부터 이 페이지의 모든 아티팩트 주장은 공개 도구로 검증 가능합니다 — 번들된 스크립트가 서명, 인증, SBOM 무결성을 확인합니다. 먼저 아티팩트를 다운로드하세요. 설치 프로그램을 절대 셸에 파이프하지 마세요.
# 첫 번째 공개 릴리스와 함께 제공됩니다 — 릴리스 아티팩트를
# 다운로드한 다음, 해당 디렉토리에서 번들된 검증기를 실행하세요:
scripts/verify-release.sh # 키리스 (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline # 에어갭, 네트워크 없음 스크립트는 cosign 서명, SLSA 출처, SBOM 및 OpenVEX 인증을 확인합니다. 전체 수동 명령 체인은 문서의 릴리스 검증 가이드에 기록되어 있습니다.
데모 환경을 5분 내에 배포한 다음, 10 영업일 동안 전체 가치 증명을 실행합니다. 평가 가이드에는 실제 바이너리에 대한 pass/fail 기준이 포함됩니다 — 슬라이드 없음, 샌드박스 없음, 프로덕션과 다른 데모 환경 없음.
아직 없습니다. SOC 2 Type II는 관리형 클라우드 티어를 위해 계획 중입니다. 저희는 현황에 대해 솔직합니다: 공급망 파이프라인(SLSA L3, SBOM, cosign, OpenVEX)은 구축되어 있으며, 그 증거는 첫 번째 공개 릴리스와 함께 공개됩니다.
아직입니다. 독립적인 침투 테스트가 계획되어 있으며 완료 시 공개됩니다.
첫 번째 공개 릴리스가 게시된 후: 번들된 검증 스크립트(scripts/verify-release.sh)를 실행하거나 cosign으로 수동 검증하세요 — 모든 릴리스에 SLSA 출처 인증과 cosign 서명이 포함되며, 저희에 대한 신뢰가 필요하지 않습니다. 그때까지는 검증할 공개 아티팩트가 없으며, 이 페이지는 그렇지 않은 척하는 대신 이를 명시합니다.
Olivares AI는 셀프호스팅입니다 — 데이터는 귀사 자체 인프라에 남습니다. 벤더는 데이터를 보거나 저장하거나 처리하지 않습니다. 관리형 클라우드(제공 시)는 데이터 레지던시 약속을 제공합니다.
DPA는 법무 검토 중입니다. 개인정보 처리와 관련된 계약을 시작하기 전에 enterprise@olivares.ai를 통해 요청하면 제공합니다.
본 제품은 EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM 및 미국 주별 AI 법률을 포함한 25개 프레임워크 카탈로그를 매핑합니다. 각 프레임워크는 통제별 증거가 포함된 데이터이며 인증 주장이 아닙니다.
소스에서 빌드하고 5분 내에 데모 환경을 기동한 다음 10일 평가 가이드를 따르세요. 모든 기준은 실제 바이너리에 대한 pass/fail입니다. POV 기간 동안 26개 애드온을 잠금 해제하는 엔터프라이즈 평가 라이선스에 대해서는 enterprise@olivares.ai로 문의하세요.
AGPL 빌드는 완전한 플랫폼입니다 — 제거된 것이 없습니다. Enterprise는 26개의 위험 완화 및 대규모 운영 기능(멀티 IdP, 콘텐츠 방화벽, WORM 보존, DORA 레지스터 등)과 AGPL 카피레프트에 대한 법적 예외 및 SLA 기반 지원을 추가합니다. 전체 기능 매트릭스는 신뢰 패키지에 있습니다.