SLSA Build Level 3
每个发布二进制文件均由 GitHub Actions 构建,通过 slsa-github-generator 附带 SLSA 来源证明。该证明确认二进制文件是从已提交的源代码在强化构建环境中无需手动干预构建的。
验证如何运作机器翻译。英文版本为权威来源,母语审校尚未完成。
安全 · 信任
每个公开版本均经过签名、认证,并附有软件物料清单 — 您使用公开工具验证来源和完整性,而非信任我们。该管线如今已构建完成并在 CI 中持续演练;其证据将随首个版本公开。
供应链
发布管线自动生成这些构件。目前尚无公开版本 — 标记为"首个版本"的条目在首个带标签的版本发布之时即可验证;security.txt 今天已经上线。
每个发布二进制文件均由 GitHub Actions 构建,通过 slsa-github-generator 附带 SLSA 来源证明。该证明确认二进制文件是从已提交的源代码在强化构建环境中无需手动干预构建的。
验证如何运作发布构件使用 Sigstore cosign(通过 Fulcio + Rekor 的无密钥模式)签名。您无需我们分发公钥即可验证签名 — 透明日志是信任根。
验证指南每个版本包含 CycloneDX 和 SPDX 格式的 SBOM,列出每个依赖项及其版本和许可证。机器可读,可审计。
如何验证 SBOM已知漏洞及其对每个版本的适用性以 OpenVEX 文档形式发布。VEX 声明区分"受影响"、"未受影响"和"调查中"。
如何验证公告位于 /.well-known/security.txt 的机器可读漏洞披露政策,符合 RFC 9116。包含联系方式、政策链接和到期日期。
查看 security.txt架构
未知状态被拒绝,而非允许。每个策略决策默认为拒绝 — 无法到达策略存储的引擎拒绝所有请求,而非开放式失败。
审计账本是带有加密链的仅追加模式。事件不能被静默修改或删除 — 篡改会破坏链条并可被检测。
引擎完全在您的环境中运行。许可证验证在本地执行(Ed25519 签名检查)。无遥测、无强制网络调用、无激活服务器。
基于 Cedar 的 RBAC 和 ABAC(范围授权)。自定义角色、委托上限以及双重控制的紧急访问。默认权限集为空。
合规
我们公布已上线的内容、已构建完成并等待首个公开版本的内容,以及尚未开始的内容。我们不声称未获得的认证。
RFC 9116 security.txt
机器可读的漏洞披露政策,已在 /.well-known/security.txt 上线。
SLSA Build Level 3
通过 slsa-github-generator 的来源证明 — 已构建完成并在 CI 中持续演练;随每个带标签的版本发布。
SBOM (CycloneDX + SPDX)
为每次发布构建生成的软件物料清单。
无密钥 cosign 签名
通过 Fulcio + Rekor 的基于 Sigstore 的构件签名。
OpenVEX 公告
每个版本的漏洞适用性声明。
SOC 2 Type II
计划中。托管云所需,自托管不需要。
ISO 27001
计划中。时间表未确定。
独立渗透测试
计划中。完成后将公布。
框架准备状态
本产品将能力映射到 25 个合规框架目录。以下是企业买家最常请求的框架的准备态势。每个条目是准备映射 — 而非认证。
附录 A 控制映射及证据指针。未认证。
AIMS 准备映射 — 产品生成 AIMS 所需的证据。未认证。
Trust Services Criteria(Security / Common Criteria)映射。未认证。
附件 IV 技术文档模板。产品是治理工具,而非附件 III 系统本身。
CAIQ v4 和 AI-CAIQ(AICM v1.0)自评已准备。未提交至 STAR Registry。
含 crypto-shred 的 RTBF 运行手册、驻留认证、保留和法律保留。自托管:客户是控制者和处理者。
包含生成式 AI 配置文件(AI 600-1)的子类别映射。
ICT 风险视图导出;信息登记生成器是企业附加组件。
含 ICT 供应链态势和事件报告证据的义务映射。
信任包
信任包已发布在源代码仓库中。企业买家可通过 enterprise@olivares.ai 请求完整的包 — 包括预填问卷和评估指南。
可用文件均为带来源信息的公开 Markdown 快照。没有可共享源文件的条目仍可按需提供。
使用 file:line 证据的威胁模型验证 — 渗透测试就绪。
可按需提供数据处理
Olivares AI 是自托管软件。产品完全在您的基础设施中运行 — 数据永远不会离开您的边界。不存在客户数据的子处理者。LLM 提供商是您的供应商,而非我们的;产品为您的第三方风险管理对其进行清点。
如果引入托管云产品,子处理者将在任何数据处理开始之前在此列出。
我们自己的网站、许可与通信使用以下服务:
网站托管、DNS 与反机器人保护。
事务邮件与新闻简报投递。
商业许可证的记录商户。
源代码托管与社区。
我们不使用客户端分析服务商,也不在浏览器中运行分析。
自行验证
自首个公开版本起,本页面上的每项构件声明均可通过公开工具验证 — 随附的脚本逐一检查签名、证明和 SBOM 完整性。请先下载构件;切勿将安装程序通过管道传给 shell。
# 随首个公开版本一起发布 — 下载发布构件,
# 然后从该目录运行随附的验证脚本:
scripts/verify-release.sh # 无密钥(Sigstore)
scripts/verify-release.sh --key cosign.pub --offline # 气隙环境,无需网络 该脚本检查 cosign 签名、SLSA 来源证明以及 SBOM 和 OpenVEX 证明。完整的手动命令链记录在文档的验证发布版本指南中。
目前没有。SOC 2 Type II 计划用于托管云层级。我们对现状保持诚实:供应链管线(SLSA L3、SBOM、cosign、OpenVEX)已构建完成,其证据将随首个公开版本公布。
目前没有。独立渗透测试已计划,完成后将公布。
首个公开版本发布后:运行随附的验证脚本(scripts/verify-release.sh)或手动使用 cosign 验证 — 每个版本都携带 SLSA 来源证明和 cosign 签名,无需信任我们。在此之前没有可验证的公开构件,本页面如实说明这一点,而非假装并非如此。
Olivares AI 是自托管的 — 您的数据保留在您自己的基础设施中。供应商从不查看、存储或处理您的数据。托管云(可用时)将提供数据驻留承诺。
DPA 正在接受法律审查。在开展任何涉及个人数据处理的合作前,可通过 enterprise@olivares.ai 按需索取。
本产品映射 25 个框架目录,包括 EU AI Act、NIST AI RMF、ISO 42001、SOC 2、ISO 27001、GDPR、NIS 2、DORA、OWASP Agentic、CSA AICM 和美国各州 AI 法律。每个框架是带有每项控制证据的数据 — 而非认证声明。
从源代码构建,在五分钟内启动演示环境,然后按照 10 天评估指南操作。每个标准都是针对真实二进制文件的 pass/fail。联系 enterprise@olivares.ai 获取企业评估许可证,在 POV 期间解锁 26 个附加组件。
AGPL 构建是完整平台 — 没有任何删减。Enterprise 增加了 26 项风险缓解和规模化运营能力(多 IdP、内容防火墙、WORM 保留、DORA 登记等)以及 AGPL copyleft 的法律例外和带 SLA 的支持。完整的功能矩阵在信任包中。