Перейти к содержимому

Машинный перевод. Авторитетным источником является английская версия; проверка носителем языка ещё не выполнена.

Безопасность · Доверие

Проверяйте , а не доверяйте.

Каждый публичный выпуск поставляется подписанным, аттестованным и с перечнем компонентов ПО — вы проверяете происхождение и целостность публичными инструментами вместо того, чтобы доверять нам. Пайплайн построен и уже выполняется в CI; его доказательства станут публичными с первым выпуском.

Цепочка поставок

Что поставляется с каждым выпуском

Пайплайн выпуска генерирует эти артефакты автоматически. Публичного выпуска пока нет — пункты с пометкой «первый выпуск» станут проверяемыми в момент публикации первого помеченного выпуска; security.txt работает уже сегодня.

Первый выпуск

SLSA Build Level 3

Каждый бинарный файл выпуска собирается GitHub Actions с аттестацией происхождения SLSA через slsa-github-generator. Аттестация доказывает, что бинарный файл собран из зафиксированного исходного кода в защищённой среде сборки без ручного вмешательства.

Как работает проверка
Первый выпуск

Беcключевые подписи cosign

Артефакты выпуска подписываются Sigstore cosign (бесключевой режим через Fulcio + Rekor). Вы можете проверить подписи без распространения нами открытого ключа — журнал прозрачности является корнем доверия.

Руководство по проверке
Первый выпуск

Перечень компонентов ПО

Каждый выпуск включает SBOM в форматах CycloneDX и SPDX с перечнем каждой зависимости, её версии и лицензии. Машиночитаемый, аудируемый.

Как проверить SBOM
Первый выпуск

Рекомендации OpenVEX

Известные уязвимости и их применимость к каждому выпуску публикуются как документы OpenVEX. VEX-заявления различают «затронуто», «не затронуто» и «в расследовании».

Как проверяются рекомендации
Работает

security.txt (RFC 9116)

Машиночитаемая политика раскрытия уязвимостей по адресу /.well-known/security.txt, соответствующая RFC 9116. Включает контакт, ссылку на политику и срок действия.

Просмотреть security.txt

Архитектура

Безопасность по проекту

Deny-closed

Неизвестное состояние отклоняется, а не допускается. Каждое решение политики по умолчанию — отказ. Движок, не способный достичь хранилища политик, отклоняет все запросы, а не переходит в открытый режим.

Только-добавление аудита

Журнал аудита — только-добавление с криптографической цепочкой. События нельзя незаметно изменить или удалить — подделка разрывает цепочку и обнаруживается.

Без обращений к серверу

Движок работает полностью в вашей среде. Проверка лицензии offline (проверка подписи Ed25519). Без телеметрии, без обязательных сетевых вызовов, без сервера активации.

Минимальные привилегии

RBAC и ABAC на базе Cedar с ограниченными грантами. Пользовательские роли, потолки делегирования и аварийный доступ с двойным контролем. Набор разрешений по умолчанию пуст.

Соответствие

Статус соответствия

Мы публикуем то, что уже работает, что построено и ожидает первого публичного выпуска, и что ещё не начато. Мы не заявляем сертификации, которых не получили.

Работает сегодня

  • RFC 9116 security.txt

    Машиночитаемая политика раскрытия уязвимостей, доступна по адресу /.well-known/security.txt.

Построено — станет публичным с первым выпуском

  • SLSA Build Level 3

    Аттестация происхождения через slsa-github-generator — построена и выполняется в CI; публикуется с каждым помеченным выпуском.

  • SBOM (CycloneDX + SPDX)

    Перечень компонентов ПО генерируется для каждой сборки выпуска.

  • Бесключевые подписи cosign

    Подписание артефактов на основе Sigstore через Fulcio + Rekor.

  • Рекомендации OpenVEX

    Заявления о применимости уязвимостей по выпускам.

Запланировано

  • SOC 2 Type II

    Запланирован. Требуется для управляемого облака, не для самостоятельного размещения.

  • ISO 27001

    Запланирован. Сроки не подтверждены.

  • Независимый тест на проникновение

    Запланирован. Будет опубликован по завершении.

Готовность по фреймворкам

Позиция соответствия

Продукт отображает возможности на 25 каталогов фреймворков соответствия. Ниже представлена позиция готовности для фреймворков, наиболее запрашиваемых корпоративными покупателями. Каждый пункт — это отображение готовности, а не сертификация.

Готовность отображена

ISO/IEC 27001:2022

Отображение контролей Приложения A с указателями на доказательства. Не сертифицирован.

Готовность отображена

ISO/IEC 42001:2023

Отображение готовности AIMS — продукт генерирует доказательства, необходимые для AIMS. Не сертифицирован.

Готовность отображена

SOC 2 Type II

Отображение Trust Services Criteria (Security / Common Criteria). Не аттестован.

Готовность отображена

EU AI Act

Шаблон технической документации Приложения IV. Продукт является инструментом управления, а не системой Приложения III.

Готовность отображена

CSA STAR / AICM

Самооценки CAIQ v4 и AI-CAIQ (AICM v1.0) подготовлены. Не отправлены в STAR Registry.

Готовность отображена

GDPR

Runbook RTBF с crypto-shred, аттестация резидентности, хранение и юридическое удержание. Самостоятельное размещение: клиент является контролёром и обработчиком.

Готовность отображена

NIST AI RMF 1.0

Отображение подкатегорий, включая профиль генеративного ИИ (AI 600-1).

Частично

DORA

Экспорт представления ICT-рисков; генератор реестра информации — корпоративное дополнение.

Готовность отображена

Директива NIS 2

Отображение обязательств с позицией ICT-цепочки поставок и доказательствами уведомления об инцидентах.

Пакет доверия

Документы due-diligence

Пакет доверия опубликован в репозитории исходного кода. Корпоративные покупатели могут запросить полный пакет — включая предварительно заполненные опросники и руководство по оценке — через enterprise@olivares.ai.

Доступные файлы — публичные снимки Markdown с указанием происхождения. Материалы без источника для публикации предоставляются по запросу.

Опросник

Самооценка CAIQ v4

CSA Cloud Controls Matrix v4 — 17 доменов с указателями на доказательства.

Скачать (Markdown)
Опросник

Самооценка AI-CAIQ / AICM

CSA AI Controls Matrix v1.0 — 18 доменов, включая Model Security.

Скачать (Markdown)
Опросник

Банк ответов на вопросники безопасности

33 предварительно проверенных ответа, согласованных с SIG 2026, CSA AI-CAIQ и стандартными опросниками покупателей.

Скачать (Markdown)
Архитектура

Эталонная архитектура

Архитектура для покупателя: три зоны доверия, топологии развёртывания, HA/DR, размерность.

Скачать (Markdown)
Оценка

Руководство по оценке

Подтверждение ценности за 10 рабочих дней — критерии pass/fail против реального бинарника.

Скачать (Markdown)
Коммерческое

Матрица функций

Полное сравнение Community (AGPL) vs Enterprise — все 26 дополнений.

Скачать (Markdown)
Безопасность

Руководство по усилению

Верификация модели угроз с доказательствами file:line — готов к пентесту.

Доступно по запросу
Доступность

VPAT

Voluntary Product Accessibility Template для консоли администратора.

Скачать (Markdown)

Обработка данных

Субпроцессоры

Olivares AI — это самостоятельно размещаемое ПО. Продукт работает полностью в вашей инфраструктуре — данные никогда не покидают ваш периметр. Субпроцессоров данных клиентов нет. Провайдеры LLM — это ваши поставщики, а не наши; продукт инвентаризирует их для вашего управления рисками третьих сторон.

Если будет введено управляемое облачное предложение, субпроцессоры будут перечислены здесь до начала обработки данных.

Сервисы поставщика

Наш собственный сайт, лицензирование и коммуникации используют:

Cloudflare

Активен

Хостинг сайта, DNS и защита от ботов.

Resend

С момента запуска

Транзакционная почта и доставка рассылки.

Polar

С момента коммерческой доступности

Официальный продавец коммерческих лицензий.

GitHub

Активен

Хостинг исходного кода и сообщество.

Мы не используем поставщика клиентской аналитики и не запускаем аналитику в браузере.

Проверьте сами

Не верьте нам на слово

Начиная с первого публичного выпуска каждое утверждение об артефактах на этой странице проверяемо публичными инструментами — прилагаемый скрипт проходит подписи, аттестации и целостность SBOM. Сначала скачайте артефакты; никогда не передавайте установщик в shell через pipe.

# Поставляется с первым публичным выпуском — скачайте артефакты
# выпуска, затем запустите прилагаемый верификатор из этого каталога:
scripts/verify-release.sh                              # бесключевой режим (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # air-gapped, без сети

Скрипт проверяет подписи cosign, происхождение SLSA, а также аттестации SBOM и OpenVEX. Полная цепочка ручных команд задокументирована в руководстве по проверке выпуска в документации.

Корпоративная оценка

Разверните демонстрационную среду за пять минут, затем проведите полное подтверждение ценности за 10 рабочих дней. Руководство по оценке включает критерии pass/fail против реального бинарника — без слайдов, без песочницы, без демо-среды, отличающейся от продуктивной.

Вопросы доверия

Есть ли у вас SOC 2 или ISO 27001?

Пока нет. SOC 2 Type II запланирован для уровня управляемого облака. Мы честны в отношении нашего статуса: пайплайн цепочки поставок (SLSA L3, SBOM, cosign, OpenVEX) построен, а его доказательства будут опубликованы с первым публичным выпуском.

Проходил ли продукт тест на проникновение?

Пока нет. Запланирован независимый тест на проникновение, который будет опубликован по завершении.

Как проверить подлинность выпуска?

Когда выйдет первый публичный выпуск: запустите прилагаемый скрипт проверки (scripts/verify-release.sh) или проверьте вручную с помощью cosign — каждый выпуск имеет аттестацию происхождения SLSA и подписи cosign, доверие к нам не требуется. До тех пор публичного артефакта для проверки нет, и эта страница говорит об этом прямо, а не делает вид, что он существует.

Где хранятся мои данные?

Olivares AI размещается самостоятельно — ваши данные остаются в вашей собственной инфраструктуре. Поставщик никогда не видит, не хранит и не обрабатывает ваши данные. Управляемое облако (при доступности) предоставит обязательства по резидентности данных.

Доступно ли DPA?

DPA находится на юридической проверке. До начала любого взаимодействия с обработкой персональных данных документ предоставляется по запросу через enterprise@olivares.ai.

Какие фреймворки соответствия поддерживает продукт?

Продукт отображает 25 каталогов фреймворков, включая EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM и законы штатов США об ИИ. Каждый фреймворк — это данные с доказательствами по каждому контролю, а не заявление о сертификации.

Как оценить продукт?

Соберите из исходного кода, запустите демонстрационную среду за пять минут и следуйте 10-дневному руководству по оценке. Каждый критерий — pass/fail против реального бинарника. Свяжитесь с enterprise@olivares.ai для получения корпоративной лицензии на оценку, которая разблокирует 26 дополнений на время POV.

В чём разница между Community и Enterprise?

Сборка AGPL — это полная платформа, ничего не удалено. Enterprise добавляет 26 возможностей по снижению рисков и масштабированию (мультиIdP, контентный файрвол, WORM-хранение, реестр DORA и др.) плюс юридическое исключение из copyleft AGPL и поддержку с SLA. Полная матрица функций находится в пакете доверия.

Безопасность начинается с прозрачности

Каждый публичный выпуск поставляется подписанным, аттестованным и задокументированным — проверьте целостность сами. Доказательства публичны с первого выпуска.