Перейти до вмісту

Машинний переклад. Авторитетним джерелом є англійська версія; перевірка носієм мови ще не виконана.

Безпека · Довіра

Перевіряйте , а не довіряйте.

Кожен публічний випуск постачається підписаним, засвідченим та з переліком компонентів ПЗ — ви перевіряєте походження та цілісність публічними інструментами, замість того щоб довіряти нам. Пайплайн уже побудований і виконується в CI; його докази стануть публічними з першим випуском.

Ланцюг постачання

Що постачається з кожним випуском

Пайплайн випуску генерує ці артефакти автоматично. Публічного випуску ще немає — пункти з позначкою «перший випуск» стануть придатними до перевірки в момент публікації першого міченого випуску; security.txt працює вже сьогодні.

Перший випуск

SLSA Build Level 3

Кожен бінарний файл випуску збирається GitHub Actions з атестацією походження SLSA через slsa-github-generator. Атестація доводить, що бінарний файл зібраний із зафіксованого вихідного коду в захищеному середовищі збірки без ручного втручання.

Як працює перевірка
Перший випуск

Безключові підписи cosign

Артефакти випуску підписуються Sigstore cosign (безключовий режим через Fulcio + Rekor). Ви можете перевірити підписи без розповсюдження нами відкритого ключа — журнал прозорості є коренем довіри.

Посібник з перевірки
Перший випуск

Перелік компонентів ПЗ

Кожен випуск містить SBOM у форматах CycloneDX та SPDX із переліком кожної залежності з версією та ліцензією. Машиночитабельний, перевіряємий.

Як перевірити SBOM
Перший випуск

Поради OpenVEX

Відомі вразливості та їхня застосовність до кожного випуску публікуються як документи OpenVEX. Заяви VEX розрізняють «уражено», «не уражено» та «під розслідуванням».

Як перевіряються поради
Працює

security.txt (RFC 9116)

Машиночитабельна політика розкриття вразливостей за адресою /.well-known/security.txt відповідно до RFC 9116. Містить контакт, посилання на політику та дату закінчення.

Переглянути security.txt

Архітектура

Безпека за проектом

Deny-closed

Невідомий стан відхиляється, а не дозволяється. Кожне рішення політики за замовчуванням — відмова. Движок, що не може досягти сховища політик, відхиляє всі запити, а не переходить у відкритий режим.

Тільки-додавання аудиту

Журнал аудиту — тільки-додавання з криптографічним ланцюгом. Події не можна непомітно змінити або видалити — підробка розриває ланцюг і виявляється.

Без зовнішніх звернень

Движок працює повністю у вашому середовищі. Перевірка ліцензії offline (перевірка підпису Ed25519). Без телеметрії, без обов'язкових мережевих викликів, без сервера активації.

Мінімальні привілеї

RBAC та ABAC на базі Cedar з обмеженими грантами. Користувацькі ролі, стелі делегування та аварійний доступ з подвійним контролем. Набір дозволів за замовчуванням порожній.

Відповідність

Статус відповідності

Ми публікуємо те, що вже працює, що побудовано й чекає на перший публічний випуск, і що ще не розпочато. Ми не заявляємо сертифікації, яких не отримали.

Працює сьогодні

  • RFC 9116 security.txt

    Машиночитабельна політика розкриття вразливостей, доступна за адресою /.well-known/security.txt.

Побудовано — публічно з першим випуском

  • SLSA Build Level 3

    Атестація походження через slsa-github-generator — побудована та виконується в CI; публікується з кожним міченим випуском.

  • SBOM (CycloneDX + SPDX)

    Перелік компонентів ПЗ генерується для кожної збірки випуску.

  • Безключові підписи cosign

    Підписання артефактів на основі Sigstore через Fulcio + Rekor.

  • Поради OpenVEX

    Заяви про застосовність вразливостей по випусках.

Заплановано

  • SOC 2 Type II

    Заплановано. Потрібно для керованої хмари, не для самостійного розміщення.

  • ISO 27001

    Заплановано. Терміни не підтверджені.

  • Незалежний тест на проникнення

    Заплановано. Буде опублікований після завершення.

Готовність за фреймворками

Позиція відповідності

Продукт відображає можливості на 25 каталогів фреймворків відповідності. Нижче наведено позицію готовності для фреймворків, найбільш запитуваних корпоративними покупцями. Кожен пункт — це відображення готовності, а не сертифікація.

Готовність відображена

ISO/IEC 27001:2022

Відображення контролів Додатку A з вказівниками на докази. Не сертифіковано.

Готовність відображена

ISO/IEC 42001:2023

Відображення готовності AIMS — продукт генерує докази, необхідні для AIMS. Не сертифіковано.

Готовність відображена

SOC 2 Type II

Відображення Trust Services Criteria (Security / Common Criteria). Не атестовано.

Готовність відображена

EU AI Act

Шаблон технічної документації Додатку IV. Продукт є інструментом управління, а не системою Додатку III.

Готовність відображена

CSA STAR / AICM

Самооцінки CAIQ v4 та AI-CAIQ (AICM v1.0) підготовлені. Не подані до STAR Registry.

Готовність відображена

GDPR

Runbook RTBF з crypto-shred, атестація резидентності, збереження та юридичне утримання. Самостійне розміщення: клієнт є контролером та обробником.

Готовність відображена

NIST AI RMF 1.0

Відображення підкатегорій, включаючи профіль генеративного ШІ (AI 600-1).

Частково

DORA

Експорт подання ICT-ризиків; генератор реєстру інформації — корпоративне доповнення.

Готовність відображена

Директива NIS 2

Відображення зобов'язань з позицією ICT-ланцюга постачання та доказами повідомлення про інциденти.

Пакет довіри

Документи due-diligence

Пакет довіри опублікований у репозиторії вихідного коду. Корпоративні покупці можуть запросити повний пакет — включаючи попередньо заповнені опитувальники та посібник з оцінки — через enterprise@olivares.ai.

Доступні файли — це публічні знімки Markdown із зазначенням походження. Матеріали без джерела для публікації надаються за запитом.

Опитувальник

Самооцінка CAIQ v4

CSA Cloud Controls Matrix v4 — 17 доменів з вказівниками на докази.

Завантажити (Markdown)
Опитувальник

Самооцінка AI-CAIQ / AICM

CSA AI Controls Matrix v1.0 — 18 доменів, включаючи Model Security.

Завантажити (Markdown)
Опитувальник

Банк відповідей на питальники безпеки

33 попередньо перевірені відповіді, узгоджені з SIG 2026, CSA AI-CAIQ та стандартними опитувальниками покупців.

Завантажити (Markdown)
Архітектура

Еталонна архітектура

Архітектура для покупця: три зони довіри, топології розгортання, HA/DR, розмірність.

Завантажити (Markdown)
Оцінка

Посібник з оцінки

Підтвердження цінності за 10 робочих днів — критерії pass/fail проти реального бінарника.

Завантажити (Markdown)
Комерційне

Матриця функцій

Повне порівняння Community (AGPL) vs Enterprise — усі 26 доповнень.

Завантажити (Markdown)
Безпека

Посібник зі зміцнення

Верифікація моделі загроз з доказами file:line — готовий до пентесту.

Доступно за запитом
Доступність

VPAT

Voluntary Product Accessibility Template для консолі адміністратора.

Завантажити (Markdown)

Обробка даних

Субпроцесори

Olivares AI — це ПЗ із самостійним розміщенням. Продукт працює повністю у вашій інфраструктурі — дані ніколи не залишають ваш периметр. Субпроцесорів даних клієнтів немає. Провайдери LLM — це ваші постачальники, а не наші; продукт інвентаризує їх для вашого управління ризиками третіх сторін.

Якщо буде введена пропозиція керованої хмари, субпроцесори будуть перелічені тут до початку будь-якої обробки даних.

Сервіси постачальника

Наш власний сайт, ліцензування й комунікації використовують:

Cloudflare

Активний

Хостинг сайту, DNS і захист від ботів.

Resend

Від запуску

Транзакційна пошта й доставка розсилки.

Polar

Від комерційної доступності

Офіційний продавець комерційних ліцензій.

GitHub

Активний

Хостинг вихідного коду й спільнота.

Ми не використовуємо постачальника клієнтської аналітики й не запускаємо аналітику у браузері.

Перевірте самі

Не вірте нам на слово

Починаючи з першого публічного випуску, кожне твердження про артефакти на цій сторінці можна перевірити публічними інструментами — доданий скрипт проходить підписи, атестації та цілісність SBOM. Спочатку завантажте артефакти; ніколи не передавайте інсталятор через pipe в shell.

# Постачається з першим публічним випуском — завантажте артефакти
# випуску, потім запустіть доданий верифікатор з того каталогу:
scripts/verify-release.sh                              # безключовий (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # ізольовано, без мережі

Скрипт перевіряє підписи cosign, походження SLSA, а також SBOM та атестації OpenVEX. Повний ланцюг ручних команд задокументований у посібнику з перевірки випуску в документації.

Корпоративна оцінка

Розгорніть демонстраційне середовище за п'ять хвилин, потім проведіть повне підтвердження цінності за 10 робочих днів. Посібник з оцінки включає критерії pass/fail проти реального бінарника — без слайдів, без пісочниці, без демо-середовища, що відрізняється від продуктивного.

Питання довіри

Чи є у вас SOC 2 або ISO 27001?

Поки що ні. SOC 2 Type II заплановано для рівня керованої хмари. Ми чесні щодо нашого стану: пайплайн ланцюга постачання (SLSA L3, SBOM, cosign, OpenVEX) побудований, а його докази публікуються з першим публічним випуском.

Чи проходив продукт тест на проникнення?

Поки що ні. Запланований незалежний тест на проникнення, який буде опублікований після завершення.

Як перевірити справжність випуску?

Щойно вийде перший публічний випуск: запустіть доданий скрипт перевірки (scripts/verify-release.sh) або перевірте вручну за допомогою cosign — кожен випуск має атестацію походження SLSA та підписи cosign, довіра до нас не потрібна. До того часу немає публічного артефакту для перевірки, і ця сторінка каже про це прямо, замість того щоб вдавати протилежне.

Де зберігаються мої дані?

Olivares AI розміщується самостійно — ваші дані залишаються у вашій власній інфраструктурі. Постачальник ніколи не бачить, не зберігає і не обробляє ваші дані. Керована хмара (при доступності) запропонує зобов'язання щодо резидентності даних.

Чи доступний DPA?

DPA проходить юридичну перевірку. До початку будь-якої взаємодії з обробкою персональних даних документ надається за запитом через enterprise@olivares.ai.

Які фреймворки відповідності підтримує продукт?

Продукт відображає 25 каталогів фреймворків, включаючи EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM та закони штатів США про ШІ. Кожен фреймворк — це дані з доказами по кожному контролю, а не заява про сертифікацію.

Як оцінити продукт?

Зберіть із вихідного коду, запустіть демонстраційне середовище за п'ять хвилин і дотримуйтесь 10-денного посібника з оцінки. Кожен критерій — pass/fail проти реального бінарника. Зверніться до enterprise@olivares.ai для отримання корпоративної ліцензії на оцінку, що розблоковує 26 доповнень під час POV.

У чому різниця між Community та Enterprise?

Збірка AGPL — це повна платформа, нічого не видалено. Enterprise додає 26 можливостей зменшення ризиків та масштабної операції (мультиIdP, контентний файрвол, WORM-збереження, реєстр DORA тощо) плюс юридичний виняток із copyleft AGPL та підтримку з SLA. Повна матриця функцій знаходиться в пакеті довіри.

Безпека починається з прозорості

Кожен публічний випуск постачається підписаним, засвідченим та задокументованим — перевірте цілісність самі. Докази публічні з першого випуску.