Ta strona może być częściowo przetłumaczona. Niektóre treści są wyświetlane po angielsku.

Nota techniczna — architektura

Kontrolowany artefakt publiczny. Dokumentuje formalne niezmienniki, gwarancje deterministyczne i granice demonstracji infrastruktury decyzyjnej evidence-runtime.

Status artefaktu

KlasyfikacjaPubliczny artefakt techniczny
Wersja1.0
ZakresArchitektura demonstracyjna
OdbiorcyEwaluatorzy techniczni, zespoły zgodności, architekci

Formalne niezmienniki

Następujące niezmienniki są właściwościami strukturalnymi systemu, utrzymywanymi na poziomie architektonicznym, a nie poprzez kontrole administracyjne.

1. Rozstrzyganie trójstanowe

  • Definicja: Każda ewaluacja generuje dokładnie jeden z trzech statusów terminalnych: ALLOW, DENY lub INDETERMINATE. Żaden inny wynik nie jest możliwy.
  • Gwarancja: INDETERMINATE jest pierwszorzędnym wynikiem, nie warunkiem błędu. Reprezentuje niewystarczający lub sprzeczny dowód pod bieżącą konfiguracją progów governance. Wynik jest rejestrowany z tym samym kontekstem dowodowym co ALLOW lub DENY.
  • Granica: System decyduje o tym, czy dowód jest wystarczający do wygenerowania ALLOW/DENY zgodnie z definicją schematu polityki. Nie waliduje merytorycznej prawdziwości dowodu — wyłącznie jego strukturalną obecność i zgodność formatu.

2. Kompletność łańcucha dowodów

  • Definicja: Każda decyzja odnosi się do kompletnego łańcucha dowodów zawierającego: dane wejściowe podmiotu, aktywne polityki w momencie ewaluacji, wszystkie uczestniczące dowody (V i F) oraz pieczęć temporalną z okna koherencji.
  • Gwarancja: Łańcuch dowodów jest kompletny i samowystarczalny. Audytor może niezależnie zrekonstruować logikę decyzyjną bez dostępu do infrastruktury ewaluacyjnej.
  • Granica: Kompletność dowodów jest definiowana przez schemat polityki. System nie waliduje merytorycznej prawdziwości dowodu — wyłącznie strukturalną obecność i zgodność formatu.

3. Deterministyczna powtarzalność

  • Definicja: Przy tej samej wersji polityki i tym samym zbiorze dowodów system musi generować ten sam wynik decyzyjny przy każdym wykonaniu.
  • Gwarancja: Powtórzenie decyzji jest pierwszorzędną funkcjonalnością audytu. Każda historyczna decyzja może zostać ponownie zewaluowana z oryginalnymi danymi wejściowymi w celu weryfikacji spójności.
  • Granica: Powtarzalność zakłada niezmienne wersjonowanie polityk. Jeśli wersja polityki zostanie zmieniona in-place (naruszenie protokołu operacyjnego), gwarancje powtarzalności nie obowiązują.

4. Architektura niesamowykonywalności

  • Definicja: System generuje decyzje, ale ich nie egzekwuje. Nie ma zdolności do wykonywania działań, modyfikowania systemów zewnętrznych ani autonomicznego aktywowania efektów downstream.
  • Gwarancja: Wynik decyzji jest artefaktem doradczym. Egzekwowanie jest zawsze delegowane do systemu wywołującego, który zachowuje pełną kontrolę nad wykonaniem działań.
  • Granica: Wzorce integracji mogą automatyzować działania na podstawie wyników decyzji. Taka automatyzacja jest zewnętrzna wobec architektury i wykracza poza zakres tego niezmiennika.

5. Granica ludzkiego nadpisania

  • Definicja: Każda decyzja wygenerowana przez system podlega ludzkiemu przeglądowi i nadpisaniu. Architektura nie zawiera ścieżki omijającej ludzką władzę.
  • Gwarancja: Zdarzenia nadpisania są rejestrowane w tym samym dzienniku append-only co oryginalne decyzje, zachowując kompletny łańcuch audytu, łącznie z tożsamością i uzasadnieniem nadpisania.
  • Granica: Platforma zapewnia mechanizm rejestracji nadpisań. Polityki organizacyjne określające, kiedy nadpisania są dozwolone, wykraczają poza zakres systemu.

Definicja gwarancji deterministycznej

Decyzja jest uznawana za deterministyczną wtedy i tylko wtedy, gdy spełnione są wszystkie poniższe warunki:

  • Wersja polityki użyta do ewaluacji jest niezmienna i zablokowana wersją w momencie żądania.
  • Zbiór dowodów jest kompletny zgodnie z definicją schematu polityki, bez pól pochodnych ani domyślnie wypełnionych.
  • Funkcja ewaluacyjna nie zawiera efektów ubocznych, wywołań zewnętrznych ani losowych danych wejściowych.
  • Wynik jest dokładnie jednym z trzech statusów: ALLOW, DENY lub INDETERMINATE.
  • Kompletna para dane wejściowe-wyjściowe jest rejestrowana w dzienniku append-only i jest dostępna do niezależnej weryfikacji powtórzenia.

Stos weryfikacji

OmegaOS™ jest zaprojektowany z wielowarstwowym stosem weryfikacji przeznaczonym do wykrywania defektów logicznych, naruszeń niezmienników i nieoczekiwanych przejść stanów. Proces weryfikacji łączy kilka komplementarnych technik:

  • Mutation testing — weryfikuje, czy testy wykrywają wprowadzone błędy.
  • Property-based testing — eksploruje duże, losowe przestrzenie danych wejściowych.
  • Differential testing — porównuje niezależne implementacje logiki rdzeniowej.
  • Coverage-guided fuzzing — testuje krytyczne komponenty przy użyciu adwersaryjnych danych wejściowych.
  • Formal verification (Kani) — dowodzi algebraicznych i logicznych właściwości jądra trójwartościowego.
  • Model checking (TLA+) — waliduje niezmienniki systemowe i przejścia stanów.

Metryki weryfikacji

600+

testy mutacyjne

0

przeżywające mutanty produkcyjne

13M+

wykonań fuzzing

100K+

przypadków property-based

13

dowodów formalnych (Kani)

3M+

stanów zweryfikowanych modelem (TLA+)

700+

deterministycznych przypadków testowych

code → tests → mutation testing → fuzzing → formal proofs → model checking

Te techniki weryfikują komponenty systemu spoza modułów SOVEREIGN. Pozostałe moduły SOVEREIGN są implementowane offline i będą weryfikowane przy użyciu tego samego pipeline po zakończeniu.

Klauzula granicy demonstracji

Niniejszy artefakt opisuje architekturę zaimplementowaną w kontrolowanym środowisku demonstracyjnym. Nie reprezentuje wdrożenia produkcyjnego, certyfikowanego systemu ani komercyjnie eksploatowanej usługi. Środowisko demonstracyjne działa z danymi syntetycznymi, ograniczonymi warunkami obciążenia i ograniczonym zakresem tenantów. Nie są formułowane żadne twierdzenia dotyczące skalowalności, dostępności ani certyfikacji regulacyjnej opisanej architektury. Organizacje ewaluujące ten system do wdrożenia operacyjnego powinny przeprowadzić własną niezależną ocenę przydatności.

Odcisk integralności

Poniższy odcisk cryptographic hash identyfikuje tę wersję noty technicznej architektury. Może być użyty do niezależnej weryfikacji integralności dokumentu.

Odcisk cryptographic hash jest publikowany wraz z podpisanym artefaktem PDF. Prosimy o kontakt z zespołem inżynieryjnym, aby otrzymać podpisaną wersję w ramach NDA.

Kontakt z zespołem

Zamów pełny artefakt

Otrzymaj pełną notę techniczną architektury jako dokument przenośny w ramach NDA.

Zamów PDF