Przejdź do treści

Tłumaczenie maszynowe. Wersja angielska jest wiążąca; weryfikacja przez native speakera jeszcze nie nastąpiła.

Bezpieczeństwo · Zaufanie

Weryfikuj , nie ufaj.

Każde publiczne wydanie jest podpisane, poświadczone i opatrzone zestawieniem komponentów oprogramowania — pochodzenie i integralność weryfikują Państwo publicznymi narzędziami, zamiast nam ufać. Pipeline jest już dzisiaj zbudowany i ćwiczony w CI; jego dowody staną się publiczne wraz z pierwszym wydaniem.

Łańcuch dostaw

Co towarzyszy każdemu wydaniu

Pipeline wydań generuje te artefakty automatycznie. Żadne publiczne wydanie jeszcze nie istnieje — pozycje oznaczone „pierwsze wydanie” staną się weryfikowalne w chwili publikacji pierwszego otagowanego wydania; security.txt działa już dzisiaj.

Pierwsze wydanie

SLSA Build Level 3

Każdy plik binarny wydania jest budowany przez GitHub Actions z atestacją pochodzenia SLSA via slsa-github-generator. Atestacja dowodzi, że plik binarny został zbudowany z zatwierdzonego kodu źródłowego w wzmocnionym środowisku budowania bez interwencji manualnej.

Jak działa weryfikacja
Pierwsze wydanie

Bezkluczykowe podpisy cosign

Artefakty wydań są podpisywane za pomocą Sigstore cosign (tryb bezkluczykowy via Fulcio + Rekor). Można zweryfikować podpisy bez dystrybucji klucza publicznego — dziennik przejrzystości jest korzeniem zaufania.

Przewodnik weryfikacji
Pierwsze wydanie

Zestawienie komponentów oprogramowania

Każde wydanie zawiera SBOM w formatach CycloneDX i SPDX, z listą każdej zależności wraz z wersją i licencją. Czytelne maszynowo, audytowalne.

Jak zweryfikować SBOM
Pierwsze wydanie

Porady OpenVEX

Znane luki i ich zastosowanie do każdego wydania są publikowane jako dokumenty OpenVEX. Oświadczenia VEX rozróżniają „dotknięty", „nie dotknięty" i „w trakcie badania".

Jak weryfikowane są porady
Działa

security.txt (RFC 9116)

Maszynowo czytelna polityka ujawniania luk pod adresem /.well-known/security.txt, zgodna z RFC 9116. Zawiera kontakt, link do polityki i datę wygaśnięcia.

Zobacz security.txt

Architektura

Bezpieczeństwo w projektowaniu

Deny-closed

Nieznany stan jest odrzucany, nie dopuszczany. Każda decyzja polityki domyślnie oznacza odmowę — silnik, który nie może dotrzeć do magazynu polityk, odrzuca wszystkie żądania zamiast działać w trybie otwartym.

Audit tylko-dodawanie

Dziennik audytu jest trybie tylko-dodawanie z łańcuchem kryptograficznym. Zdarzenia nie mogą być cicho modyfikowane ani usuwane — ingerencja łamie łańcuch i jest wykrywalna.

Bez połączeń zewnętrznych

Silnik działa całkowicie w Państwa środowisku. Weryfikacja licencji odbywa się offline (sprawdzenie podpisu Ed25519). Bez telemetrii, bez obowiązkowych wywołań sieciowych, bez serwera aktywacji.

Najmniejsze uprawnienia

RBAC i ABAC oparte na Cedar z ograniczonymi przyznaniami. Niestandardowe role, pułapy delegacji i awaryjny dostęp z podwójną kontrolą. Domyślny zestaw uprawnień jest pusty.

Zgodność

Status zgodności

Publikujemy to, co działa, co jest zbudowane i czeka na pierwsze publiczne wydanie, oraz co jeszcze nie zostało rozpoczęte. Nie rościmy sobie certyfikacji, których nie uzyskaliśmy.

Działa dzisiaj

  • RFC 9116 security.txt

    Maszynowo czytelna polityka ujawniania luk, dostępna pod adresem /.well-known/security.txt.

Zbudowane — publiczne wraz z pierwszym wydaniem

  • SLSA Build Level 3

    Atestacja pochodzenia via slsa-github-generator — zbudowana i ćwiczona w CI; publikowana z każdym otagowanym wydaniem.

  • SBOM (CycloneDX + SPDX)

    Zestawienie komponentów oprogramowania generowane dla każdej kompilacji wydania.

  • Bezkluczykowe podpisy cosign

    Podpisywanie artefaktów oparte na Sigstore via Fulcio + Rekor.

  • Porady OpenVEX

    Oświadczenia o zastosowaniu luk na wydanie.

Planowane

  • SOC 2 Type II

    Planowane. Wymagane dla chmury zarządzanej, nie dla samodzielnego hostingu.

  • ISO 27001

    Planowane. Harmonogram nieustalony.

  • Niezależny test penetracyjny

    Planowany. Zostanie opublikowany po zakończeniu.

Gotowość frameworkowa

Postura zgodności

Produkt mapuje zdolności na 25 katalogów frameworków zgodności. Poniżej postura gotowości dla frameworków najczęściej żądanych przez nabywców enterprise. Każdy element to mapowanie gotowości — nie certyfikacja.

Gotowość zmapowana

ISO/IEC 27001:2022

Mapowanie kontroli Załącznika A ze wskaźnikami dowodów. Niecertyfikowany.

Gotowość zmapowana

ISO/IEC 42001:2023

Mapowanie gotowości AIMS — produkt generuje dowody wymagane przez AIMS. Niecertyfikowany.

Gotowość zmapowana

SOC 2 Type II

Mapowanie Trust Services Criteria (Security / Common Criteria). Nieatestowany.

Gotowość zmapowana

EU AI Act

Szablon dokumentacji technicznej Załącznika IV. Produkt jest narzędziem governance, a nie systemem Załącznika III.

Gotowość zmapowana

CSA STAR / AICM

Samooceny CAIQ v4 i AI-CAIQ (AICM v1.0) przygotowane. Nie przesłane do STAR Registry.

Gotowość zmapowana

GDPR

Runbook RTBF z crypto-shred, atestacja rezydencji, retencja i zabezpieczenie prawne. Self-hosted: klient jest administratorem i podmiotem przetwarzającym.

Gotowość zmapowana

NIST AI RMF 1.0

Mapowanie podkategorii obejmujące profil generatywnego AI (AI 600-1).

Częściowo

DORA

Eksport widoku ryzyk ICT; generator rejestru informacji jest dodatkiem enterprise.

Gotowość zmapowana

Dyrektywa NIS 2

Mapowanie zobowiązań z posturą łańcucha dostaw ICT i dowodami zgłoszenia incydentów.

Pakiet zaufania

Dokumenty due-diligence

Pakiet zaufania jest opublikowany w repozytorium kodu źródłowego. Nabywcy enterprise mogą zażądać pełnego pakietu — w tym wstępnie wypełnionych kwestionariuszy i przewodnika ewaluacji — przez enterprise@olivares.ai.

Dostępne pliki to publiczne migawki Markdown z informacją o pochodzeniu. Pozycje bez źródła nadającego się do udostępnienia pozostają dostępne na żądanie.

Kwestionariusz

Samoocena CAIQ v4

CSA Cloud Controls Matrix v4 — 17 domen ze wskaźnikami dowodów.

Pobierz (Markdown)
Kwestionariusz

Samoocena AI-CAIQ / AICM

CSA AI Controls Matrix v1.0 — 18 domen, w tym Model Security.

Pobierz (Markdown)
Kwestionariusz

Bank odpowiedzi na kwestionariusze bezpieczeństwa

33 wstępnie zweryfikowane odpowiedzi zgodne z SIG 2026, CSA AI-CAIQ i popularnymi kwestionariuszami nabywców.

Pobierz (Markdown)
Architektura

Architektura referencyjna

Architektura zorientowana na nabywcę: trzy strefy zaufania, topologie wdrożeń, HA/DR, wymiarowanie.

Pobierz (Markdown)
Ewaluacja

Przewodnik ewaluacji

Dowód wartości w 10 dniach roboczych — kryteria pass/fail wobec prawdziwego pliku binarnego.

Pobierz (Markdown)
Komercyjne

Matryca funkcjonalności

Pełne porównanie Community (AGPL) vs Enterprise — wszystkie 26 dodatków.

Pobierz (Markdown)
Bezpieczeństwo

Przewodnik hardeningu

Weryfikacja modelu zagrożeń z dowodami file:line — gotowy na pentest.

Dostępne na żądanie
Dostępność

VPAT

Voluntary Product Accessibility Template dla konsoli administracyjnej.

Pobierz (Markdown)

Przetwarzanie danych

Podmioty przetwarzające

Olivares AI to oprogramowanie hostowane samodzielnie. Produkt działa całkowicie w Państwa infrastrukturze — dane nigdy nie opuszczają Państwa perimetru. Nie ma podmiotów przetwarzających dane klientów. Dostawcy LLM to Państwa dostawcy, nie nasi; produkt inwentaryzuje ich dla Państwa zarządzania ryzykiem stron trzecich.

Jeśli zostanie wprowadzona oferta chmury zarządzanej, podmioty przetwarzające zostaną wymienione tutaj przed rozpoczęciem przetwarzania danych.

Usługi dostawcy

Nasza witryna, licencjonowanie i komunikacja korzystają z:

Cloudflare

Aktywne

Hosting witryny, DNS i ochrona przed botami.

Resend

Od uruchomienia

E-maile transakcyjne i dostarczanie newslettera.

Polar

Od dostępności komercyjnej

Merchant of record dla licencji komercyjnych.

GitHub

Aktywne

Hosting kodu źródłowego i społeczność.

Nie korzystamy z dostawcy analityki po stronie klienta i nie uruchamiamy analityki w przeglądarce.

Zweryfikuj sam

Nie wierz nam na słowo

Od pierwszego publicznego wydania każde twierdzenie o artefaktach na tej stronie będzie weryfikowalne za pomocą publicznych narzędzi — dołączony skrypt przechodzi podpisy, atestacje i integralność SBOM. Najpierw pobierz artefakty; nigdy nie podawaj instalatora bezpośrednio do shella.

# Dostarczany z pierwszym publicznym wydaniem — pobierz artefakty
# wydania, a następnie uruchom dołączony weryfikator z tego katalogu:
scripts/verify-release.sh                              # bezkluczykowo (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # air-gapped, bez sieci

Skrypt sprawdza podpisy cosign, pochodzenie SLSA oraz atestacje SBOM i OpenVEX. Pełny ręczny łańcuch poleceń jest udokumentowany w przewodniku weryfikacji wydania w dokumentacji.

Ewaluacja enterprise

Wdróż środowisko demonstracyjne w pięć minut, następnie przeprowadź pełny dowód wartości w 10 dniach roboczych. Przewodnik ewaluacji zawiera kryteria pass/fail wobec prawdziwego pliku binarnego — bez slajdów, bez piaskownicy, bez środowiska demo różniącego się od produkcji.

Pytania o zaufanie

Czy macie SOC 2 lub ISO 27001?

Jeszcze nie. SOC 2 Type II jest planowany dla warstwy chmury zarządzanej. Jesteśmy uczciwi co do stanu rzeczy: pipeline łańcucha dostaw (SLSA L3, SBOM, cosign, OpenVEX) jest zbudowany, a jego dowody zostaną opublikowane wraz z pierwszym publicznym wydaniem.

Czy produkt przeszedł test penetracyjny?

Jeszcze nie. Zaplanowany jest niezależny test penetracyjny, który zostanie opublikowany po zakończeniu.

Jak zweryfikować autentyczność wydania?

Gdy ukaże się pierwsze publiczne wydanie: uruchom dołączony skrypt weryfikacji (scripts/verify-release.sh) lub zweryfikuj ręcznie za pomocą cosign — każde wydanie niesie atestację pochodzenia SLSA i podpisy cosign, zaufanie do nas nie jest wymagane. Do tego czasu nie ma publicznego artefaktu do zweryfikowania — i ta strona mówi to wprost, zamiast udawać, że jest inaczej.

Gdzie są przechowywane moje dane?

Olivares AI jest hostowany samodzielnie — Państwa dane pozostają w Państwa własnej infrastrukturze. Dostawca nigdy nie widzi, nie przechowuje ani nie przetwarza Państwa danych. Chmura zarządzana (gdy dostępna) zaoferuje zobowiązania dotyczące rezydencji danych.

Czy DPA jest dostępne?

DPA jest w trakcie przeglądu prawnego. Przed rozpoczęciem współpracy obejmującej przetwarzanie danych osobowych dokument jest dostępny na żądanie przez enterprise@olivares.ai.

Jakie frameworki zgodności obsługuje produkt?

Produkt mapuje 25 katalogów frameworków, w tym EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM i stanowe prawa AI w USA. Każdy framework to dane z dowodami na kontrolę — nie twierdzenie o certyfikacji.

Jak ewaluować produkt?

Skompiluj ze źródeł, uruchom środowisko demonstracyjne w pięć minut i postępuj zgodnie z 10-dniowym przewodnikiem ewaluacji. Każde kryterium to pass/fail wobec prawdziwego pliku binarnego. Skontaktuj się z enterprise@olivares.ai, aby uzyskać licencję ewaluacyjną enterprise, która odblokowuje 26 dodatków podczas POV.

Jaka jest różnica między Community a Enterprise?

Build AGPL to kompletna platforma — nic nie jest usunięte. Enterprise dodaje 26 możliwości łagodzenia ryzyka i operacji na dużą skalę (multi-IdP, zapora treści, retencja WORM, rejestr DORA i więcej) plus prawny wyjątek od copyleft AGPL i wsparcie z SLA. Pełna matryca funkcjonalności znajduje się w pakiecie zaufania.

Bezpieczeństwo zaczyna się od przejrzystości

Każde publiczne wydanie jest podpisane, poświadczone i udokumentowane — zweryfikuj integralność samodzielnie. Dowody są publiczne od pierwszego wydania.