跳至正文

机器翻译。英文版本为权威来源,母语审校尚未完成。

安全 · 信任

验证 ,而非信任。

每个公开版本均经过签名、认证,并附有软件物料清单 — 您使用公开工具验证来源和完整性,而非信任我们。该管线如今已构建完成并在 CI 中持续演练;其证据将随首个版本公开。

供应链

每个版本附带的内容

发布管线自动生成这些构件。目前尚无公开版本 — 标记为"首个版本"的条目在首个带标签的版本发布之时即可验证;security.txt 今天已经上线。

首个版本

SLSA Build Level 3

每个发布二进制文件均由 GitHub Actions 构建,通过 slsa-github-generator 附带 SLSA 来源证明。该证明确认二进制文件是从已提交的源代码在强化构建环境中无需手动干预构建的。

验证如何运作
首个版本

无密钥 cosign 签名

发布构件使用 Sigstore cosign(通过 Fulcio + Rekor 的无密钥模式)签名。您无需我们分发公钥即可验证签名 — 透明日志是信任根。

验证指南
首个版本

软件物料清单

每个版本包含 CycloneDX 和 SPDX 格式的 SBOM,列出每个依赖项及其版本和许可证。机器可读,可审计。

如何验证 SBOM
首个版本

OpenVEX 公告

已知漏洞及其对每个版本的适用性以 OpenVEX 文档形式发布。VEX 声明区分"受影响"、"未受影响"和"调查中"。

如何验证公告
已上线

security.txt (RFC 9116)

位于 /.well-known/security.txt 的机器可读漏洞披露政策,符合 RFC 9116。包含联系方式、政策链接和到期日期。

查看 security.txt

架构

安全设计

Deny-closed

未知状态被拒绝,而非允许。每个策略决策默认为拒绝 — 无法到达策略存储的引擎拒绝所有请求,而非开放式失败。

仅追加审计

审计账本是带有加密链的仅追加模式。事件不能被静默修改或删除 — 篡改会破坏链条并可被检测。

无外部通信

引擎完全在您的环境中运行。许可证验证在本地执行(Ed25519 签名检查)。无遥测、无强制网络调用、无激活服务器。

最小权限

基于 Cedar 的 RBAC 和 ABAC(范围授权)。自定义角色、委托上限以及双重控制的紧急访问。默认权限集为空。

合规

合规状态

我们公布已上线的内容、已构建完成并等待首个公开版本的内容,以及尚未开始的内容。我们不声称未获得的认证。

今天已上线

  • RFC 9116 security.txt

    机器可读的漏洞披露政策,已在 /.well-known/security.txt 上线。

已构建 — 随首个版本公开

  • SLSA Build Level 3

    通过 slsa-github-generator 的来源证明 — 已构建完成并在 CI 中持续演练;随每个带标签的版本发布。

  • SBOM (CycloneDX + SPDX)

    为每次发布构建生成的软件物料清单。

  • 无密钥 cosign 签名

    通过 Fulcio + Rekor 的基于 Sigstore 的构件签名。

  • OpenVEX 公告

    每个版本的漏洞适用性声明。

计划中

  • SOC 2 Type II

    计划中。托管云所需,自托管不需要。

  • ISO 27001

    计划中。时间表未确定。

  • 独立渗透测试

    计划中。完成后将公布。

框架准备状态

合规态势

本产品将能力映射到 25 个合规框架目录。以下是企业买家最常请求的框架的准备态势。每个条目是准备映射 — 而非认证。

准备映射完成

ISO/IEC 27001:2022

附录 A 控制映射及证据指针。未认证。

准备映射完成

ISO/IEC 42001:2023

AIMS 准备映射 — 产品生成 AIMS 所需的证据。未认证。

准备映射完成

SOC 2 Type II

Trust Services Criteria(Security / Common Criteria)映射。未认证。

准备映射完成

EU AI Act

附件 IV 技术文档模板。产品是治理工具,而非附件 III 系统本身。

准备映射完成

CSA STAR / AICM

CAIQ v4 和 AI-CAIQ(AICM v1.0)自评已准备。未提交至 STAR Registry。

准备映射完成

GDPR

含 crypto-shred 的 RTBF 运行手册、驻留认证、保留和法律保留。自托管:客户是控制者和处理者。

准备映射完成

NIST AI RMF 1.0

包含生成式 AI 配置文件(AI 600-1)的子类别映射。

部分

DORA

ICT 风险视图导出;信息登记生成器是企业附加组件。

准备映射完成

NIS 2 指令

含 ICT 供应链态势和事件报告证据的义务映射。

信任包

尽职调查文档

信任包已发布在源代码仓库中。企业买家可通过 enterprise@olivares.ai 请求完整的包 — 包括预填问卷和评估指南。

可用文件均为带来源信息的公开 Markdown 快照。没有可共享源文件的条目仍可按需提供。

问卷

CAIQ v4 自评

CSA Cloud Controls Matrix v4 — 17 个域及证据指针。

下载(Markdown)
问卷

AI-CAIQ / AICM 自评

CSA AI Controls Matrix v1.0 — 18 个域,包含 Model Security。

下载(Markdown)
问卷

安全问卷答案库

33 个经过预验证的答案,与 SIG 2026、CSA AI-CAIQ 和常见买家问卷保持一致。

下载(Markdown)
架构

参考架构

面向买家的架构:三个信任区、部署拓扑、HA/DR、容量规划。

下载(Markdown)
评估

评估指南

10 个工作日内的价值证明 — 针对真实二进制文件的 pass/fail 标准。

下载(Markdown)
商业

功能矩阵

Community(AGPL)与 Enterprise 的完整比较 — 所有 26 个附加组件。

下载(Markdown)
安全

加固指南

使用 file:line 证据的威胁模型验证 — 渗透测试就绪。

可按需提供
无障碍

VPAT

管理控制台的 Voluntary Product Accessibility Template。

下载(Markdown)

数据处理

子处理者

Olivares AI 是自托管软件。产品完全在您的基础设施中运行 — 数据永远不会离开您的边界。不存在客户数据的子处理者。LLM 提供商是您的供应商,而非我们的;产品为您的第三方风险管理对其进行清点。

如果引入托管云产品,子处理者将在任何数据处理开始之前在此列出。

供应商服务

我们自己的网站、许可与通信使用以下服务:

Cloudflare

使用中

网站托管、DNS 与反机器人保护。

Resend

自发布起

事务邮件与新闻简报投递。

Polar

自商业可用起

商业许可证的记录商户。

GitHub

使用中

源代码托管与社区。

我们不使用客户端分析服务商,也不在浏览器中运行分析。

自行验证

不要轻信我们

自首个公开版本起,本页面上的每项构件声明均可通过公开工具验证 — 随附的脚本逐一检查签名、证明和 SBOM 完整性。请先下载构件;切勿将安装程序通过管道传给 shell。

# 随首个公开版本一起发布 — 下载发布构件,
# 然后从该目录运行随附的验证脚本:
scripts/verify-release.sh                              # 无密钥(Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # 气隙环境,无需网络

该脚本检查 cosign 签名、SLSA 来源证明以及 SBOM 和 OpenVEX 证明。完整的手动命令链记录在文档的验证发布版本指南中。

企业评估

五分钟内部署演示环境,然后在 10 个工作日内运行完整的价值证明。评估指南包含针对真实二进制文件的 pass/fail 标准 — 无幻灯片、无沙箱、无与生产环境不同的演示环境。

信任问题

您有 SOC 2 或 ISO 27001 吗?

目前没有。SOC 2 Type II 计划用于托管云层级。我们对现状保持诚实:供应链管线(SLSA L3、SBOM、cosign、OpenVEX)已构建完成,其证据将随首个公开版本公布。

产品是否进行过渗透测试?

目前没有。独立渗透测试已计划,完成后将公布。

如何验证版本是否真实?

首个公开版本发布后:运行随附的验证脚本(scripts/verify-release.sh)或手动使用 cosign 验证 — 每个版本都携带 SLSA 来源证明和 cosign 签名,无需信任我们。在此之前没有可验证的公开构件,本页面如实说明这一点,而非假装并非如此。

我的数据存储在哪里?

Olivares AI 是自托管的 — 您的数据保留在您自己的基础设施中。供应商从不查看、存储或处理您的数据。托管云(可用时)将提供数据驻留承诺。

是否提供 DPA?

DPA 正在接受法律审查。在开展任何涉及个人数据处理的合作前,可通过 enterprise@olivares.ai 按需索取。

产品支持哪些合规框架?

本产品映射 25 个框架目录,包括 EU AI Act、NIST AI RMF、ISO 42001、SOC 2、ISO 27001、GDPR、NIS 2、DORA、OWASP Agentic、CSA AICM 和美国各州 AI 法律。每个框架是带有每项控制证据的数据 — 而非认证声明。

如何评估产品?

从源代码构建,在五分钟内启动演示环境,然后按照 10 天评估指南操作。每个标准都是针对真实二进制文件的 pass/fail。联系 enterprise@olivares.ai 获取企业评估许可证,在 POV 期间解锁 26 个附加组件。

Community 和 Enterprise 有什么区别?

AGPL 构建是完整平台 — 没有任何删减。Enterprise 增加了 26 项风险缓解和规模化运营能力(多 IdP、内容防火墙、WORM 保留、DORA 登记等)以及 AGPL copyleft 的法律例外和带 SLA 的支持。完整的功能矩阵在信任包中。

安全始于透明

每个公开版本均经过签名、认证和记录 — 自行验证完整性。证据自首个版本起公开。