एंटरप्राइज़
Ciao एंटरप्राइज़ सिक्योरिटी मॉडल
अलग-थलग वर्कलोड, लगातार टेस्ट किए गए बदलाव, और लाइव एप्लिकेशन के खिलाफ़ पुष्ट सिक्योरिटी फाइंडिंग्स — एक सिक्योरिटी पैक में दस्तावेज़ीकृत जिसे आपके रिव्यूअर NDA के तहत पढ़ सकते हैं।
Ciao का एंटरप्राइज़ सिक्योरिटी मॉडल प्रति-प्रोजेक्ट अलग-थलग इंफ्रास्ट्रक्चर को निरंतर सिक्योरिटी टेस्टिंग के साथ जोड़ता है: स्टैटिक स्कैनिंग, डिपेंडेंसी जांच, एक्सेस-कंट्रोल जांच और फ़्लैग करने से पहले लाइव एप्लिकेशन के खिलाफ़ पुष्ट की गई कमज़ोरियां। उन AI कोडिंग टूल के विपरीत जो कोड जनरेट करने पर रुक जाते हैं, Ciao सिक्योरिटी को डिलीवरी लूप का हिस्सा मानता है — NDA के तहत उपलब्ध SOC 2 Type II रिपोर्ट और अनुरोध पर उपलब्ध सिक्योरिटी पैक के साथ।
प्रकाशित 2026-07-03 · आख़िरी बार अपडेट किया गया 2026-07-03
सिक्योरिटी मॉडल AI के लूप में होने पर और ज़्यादा क्यों मायने रखता है
AI-सहायता प्राप्त डेवलपमेंट उन सवालों को बदल देता है जिनका सिक्योरिटी समीक्षा को जवाब देना होता है। कोड की मात्रा बढ़ती है, बदलाव की आवृत्ति बढ़ती है, और एक नई तरह का सप्लायर — मॉडल वेंडर — आपके डेटा-फ़्लो डायग्राम में दाखिल होता है। एक प्लेटफ़ॉर्म जो प्रोडक्शन सॉफ़्टवेयर जनरेट करता है उसे आपको तीन चीज़ें साफ़-साफ़ दिखानी होती हैं: वर्कलोड कहां चलते हैं और उन्हें कैसे अलग किया जाता है, बदलावों को शिप होने से पहले और बाद में कैसे टेस्ट किया जाता है, और सिस्टम से गुज़रने वाले कोड और डेटा का क्या होता है।
इस श्रेणी के ज़्यादातर टूल एक फ़ीचर लिस्ट के साथ जवाब देते हैं। एक CISO को सबूत चाहिए: एक स्वतंत्र ऑडिट, एक डॉक्यूमेंट सेट जिसे टीम NDA के तहत समीक्षा कर सके, और नियंत्रण जिन्हें आप मूल्यांकन के दौरान चलते हुए देख सकें। Ciao का सिक्योरिटी मॉडल जांचे जाने के लिए बना है, सिर्फ़ वर्णित होने के लिए नहीं।
यह पेज मॉडल का सारांश देता है — आइसोलेशन, एन्क्रिप्शन, निरंतर टेस्टिंग और लाइव सिक्योरिटी जांच — और बताता है कि हर हिस्से को कैसे सत्यापित करें। यहां कुछ भी भरोसे पर नहीं लिया जाना चाहिए; हर दावा एक डॉक्यूमेंट या एक कंट्रोल से जुड़ता है जिसे आप मांग सकते हैं या चलते हुए देख सकते हैं।
Ciao क्या प्रदान करता है
नीचे दी गई हर चीज़ एक ऐसे कंट्रोल से जुड़ती है जिसे आप समीक्षा के दौरान सत्यापित कर सकते हैं।
- अलग-थलग इंफ्रास्ट्रक्चर — प्रोजेक्ट्स Kubernetes पर अलग-थलग पॉड्स में चलते हैं, हाइबरनेशन, वेक और मल्टी-रीजन सपोर्ट के साथ — स्केल के लिए डिज़ाइन किया गया इंफ्रास्ट्रक्चर जो ग्राहकों या प्रोजेक्ट्स के बीच वर्कलोड सीमाओं को धुंधला नहीं करता।
- स्टैटिक और डिपेंडेंसी स्कैनिंग — Ciao का Security इंजीनियर डिलीवरी लूप के हिस्से के रूप में स्टैटिक स्कैनिंग और डिपेंडेंसी जांच चलाता है, ताकि जनरेट किया गया और मानव-लिखित कोड दोनों पब्लिश से पहले जांचे जाएं।
- एक्सेस-कंट्रोल जांच — Security सिर्फ़ कोड पढ़ने के बजाय चल रही एप्लिकेशन के खिलाफ़ एक्सेस नियमों की जांच करता है, यह टेस्ट करते हुए कि एक हमलावर वाकई क्या तक पहुंच सकता।
- लाइव-पुष्ट फाइंडिंग्स — फ़्लैग करने से पहले कमज़ोरियों की लाइव ऐप के खिलाफ़ पुष्टि की जाती है, ताकि आपकी टीम स्कैनर शोर के बजाय असली जोखिम की समीक्षा करे।
- सेफ़-टू-पब्लिश विज़िबिलिटी — एक सेफ़-टू-पब्लिश डैशबोर्ड दिखाता है कि कोई प्रोजेक्ट शिप करने के लिए साफ़ है या नहीं, जो स्कैनिंग, जांच और पुष्ट फाइंडिंग्स से फ़ीड होता है।
- पहचान और एक्सेस — SAML और OIDC के ज़रिए SSO, वैकल्पिक MFA और वर्कस्पेस व वर्कस्पेस व प्रोजेक्ट्स में रोल-आधारित एक्सेस कंट्रोल।
- ऑडिट योग्यता — एक अपेंड-ओनली ऑडिट ट्रेल प्रॉम्प्ट, मर्ज, डिप्लॉय और एडमिन कार्रवाइयों को दर्ज करता है।
- मॉडल डेटा हैंडलिंग — ग्राहक का कोड मॉडल ट्रेनिंग के लिए इस्तेमाल नहीं होता, और इंफ़रेंस ज़ीरो-रिटेंशन मॉडल कॉन्ट्रैक्ट्स के तहत चलता है।
व्यवहार में सिक्योरिटी टेस्टिंग कैसे चलती है
1. अलगाव में बनाएं
हर प्रोजेक्ट अपने खुद के अलग-थलग पॉड में बनता और चलता है, ताकि एक प्रोजेक्ट में बदलाव किसी दूसरे प्रोजेक्ट के रनटाइम तक न पहुंच सके।
2. स्कैन करें
स्टैटिक स्कैनिंग और डिपेंडेंसी जांच कोडबेस के खिलाफ़ चलती हैं, शिप होने से पहले जाने-पहचाने कमज़ोरी पैटर्न और असुरक्षित पैकेज पकड़ते हुए।
3. जांच करें
एक्सेस-कंट्रोल जांच चल रही एप्लिकेशन को उसी तरह परखती है — एंडपॉइंट, रोल, डेटा एक्सेस — जैसे कोई बाहरी पक्ष करता।
4. पुष्टि करें
फ़्लैग करने से पहले फाइंडिंग्स को लाइव ऐप के खिलाफ़ पुष्ट किया जाता है, जो क्यू को छोटा और उन इंसानों के लिए विश्वसनीय रखता है जो इसे ट्राइएज करते हैं।
5. गेट करें
पब्लिश से पहले QA स्मोक गेट्स चलते हैं, और Guardrails जोखिम भरे बदलावों के लिए दर्ज मानव समीक्षा के साथ सरल-भाषा पॉलिसी लागू करता है।
6. मॉनिटर करें
पब्लिश के बाद, QA प्रोडक्शन जांच चलती रहती है, और Doctor — एक रीड-ओनली AI SRE — समस्याओं का जल्दी निदान करने के लिए लाइव ऐप, DNS और CDN की जांच करता है।
आइसोलेशन और एन्क्रिप्शन
वर्कलोड आइसोलेशन संरचनात्मक है: प्रति-प्रोजेक्ट अलग-थलग पॉड्स के साथ Kubernetes, कोई साझा रनटाइम नहीं जिस पर लॉजिकल सेपरेशन बाद में जोड़ा गया हो। ट्रांज़िट और रेस्ट में एन्क्रिप्शन प्लेटफ़ॉर्म पर मानक अभ्यास है, और रिव्यूअर के लिए मायने रखने वाले विवरण — प्रोटोकॉल, की मैनेजमेंट, स्कोप — यहां एक मार्केटिंग वाक्य में संकुचित करने के बजाय सिक्योरिटी पैक में दस्तावेज़ीकृत हैं। अगर आपकी समीक्षा को विवरण चाहिए, तो पैक मांगें और असली जवाब पढ़ें।
जिन टीमों को सख़्त सीमा चाहिए वे अपने खुद के AWS, Azure या GCP अकाउंट या एक निजी VPC पर डिप्लॉय कर सकती हैं; ऑन-प्रेम अलग शर्तों के तहत उपलब्ध है। उन पोज़िशन में एप्लिकेशन और उसका डेटा उस इंफ्रास्ट्रक्चर के भीतर चलता है जिसे आप पहले से नियंत्रित और मॉनिटर करते हैं।
वेरिफ़िकेशन: इस पेज पर हर दावे की जांच कैसे करें
NDA के तहत SOC 2 Type II रिपोर्ट उपलब्ध हैं — यह स्वतंत्र, ऑडिट किया गया विवरण है कि ये नियंत्रण समय के साथ कैसे काम करते हैं। सिक्योरिटी पैक, कॉन्टैक्ट पेज के ज़रिए अनुरोध पर उपलब्ध, आर्किटेक्चर, आइसोलेशन, एन्क्रिप्शन और डेटा हैंडलिंग को रिव्यूअर-ग्रेड विवरण में कवर करता है। और क्योंकि सिक्योरिटी नियंत्रण प्रोडक्ट का हिस्सा हैं, आप उन्हें चलते हुए देख सकते हैं: अपने मूल्यांकन के दौरान स्कैनिंग, एक्सेस-कंट्रोल जांच और सेफ़-टू-पब्लिश व्यू का एक लाइव वॉकथ्रू मांगें। गंभीर प्रोडक्शन प्रोग्राम USD 10,000 प्रति वर्ष से शुरू होते हैं; स्कोप और पोज़िशन एंटरप्राइज़ टीम के साथ तय होते हैं।
कंट्रोल दर कंट्रोल: Ciao क्या प्रदान करता है और इसे कैसे सत्यापित करें
| कंट्रोल | Ciao क्या प्रदान करता है | कैसे सत्यापित करें |
|---|---|---|
| वर्कलोड आइसोलेशन | प्रति-प्रोजेक्ट अलग-थलग पॉड्स के साथ Kubernetes | सिक्योरिटी पैक में आर्किटेक्चर विवरण |
| कमज़ोरी पहचान | स्टैटिक स्कैनिंग, डिपेंडेंसी जांच, एक्सेस-कंट्रोल जांच | Security डैशबोर्ड का लाइव वॉकथ्रू |
| फाइंडिंग गुणवत्ता | फ़्लैग करने से पहले लाइव ऐप के खिलाफ़ पुष्ट कमज़ोरियां | एक डेमो में शुरू से अंत तक एक फाइंडिंग की समीक्षा |
| पहचान और एक्सेस | SAML और OIDC के ज़रिए SSO, वैकल्पिक MFA, RBAC | आपके IdP के साथ कॉन्फ़िगरेशन वॉकथ्रू |
| मॉडल डेटा हैंडलिंग | ग्राहक कोड पर कोई ट्रेनिंग नहीं; ज़ीरो-रिटेंशन मॉडल कॉन्ट्रैक्ट्स | प्रोक्योरमेंट के दौरान कॉन्ट्रैक्ट शर्तें |
| स्वतंत्र ऑडिट | SOC 2 Type II | NDA के तहत रिपोर्ट, /contact के ज़रिए अनुरोध |
अक्सर पूछे जाने वाले सवाल
क्या आप पेनेट्रेशन टेस्ट चलाते हैं?
टेस्टिंग-प्रोग्राम की विशिष्टताएं सिक्योरिटी पैक में हैं, जो मार्केटिंग कॉपी में सारांशित करने के बजाय NDA के तहत अनुरोध पर उपलब्ध है। किसी भी बिंदु-समय अभ्यास से स्वतंत्र, प्लेटफ़ॉर्म लगातार कोड और डिपेंडेंसी स्कैन करता है और लाइव एप्लिकेशन के खिलाफ़ एक्सेस नियंत्रण जांचता है।
क्या हमारा कोड या डेटा मॉडल ट्रेनिंग के लिए इस्तेमाल होता है?
नहीं। ग्राहक का कोड मॉडल ट्रेनिंग के लिए इस्तेमाल नहीं होता, और इंफ़रेंस ज़ीरो-रिटेंशन मॉडल कॉन्ट्रैक्ट्स के तहत चलता है। कॉन्ट्रैक्चुअल भाषा उस डॉक्यूमेंट सेट का हिस्सा है जिसकी आपकी लीगल टीम प्रोक्योरमेंट के दौरान समीक्षा करती है।
क्या हम Ciao को अपनी सिक्योरिटी सीमा के भीतर चला सकते हैं?
हां। आप अपने खुद के AWS, Azure या GCP अकाउंट या एक निजी VPC पर डिप्लॉय कर सकते हैं, और ऑन-प्रेम अलग शर्तों के तहत उपलब्ध है। अपनी समीक्षा के लिए कौन सी पोज़िशन फ़िट बैठती है इसके बारे में एंटरप्राइज़ टीम से बात करें।
आप AI-जनरेटेड बदलावों को कमज़ोरियां लाने से कैसे रोकते हैं?
हर बदलाव उसी लूप से गुज़रता है: स्टैटिक स्कैनिंग, डिपेंडेंसी जांच और एक्सेस-कंट्रोल जांच, फ़्लैग करने से पहले लाइव ऐप के खिलाफ़ पुष्ट फाइंडिंग्स के साथ। Guardrails सरल-भाषा पॉलिसी लागू करता है और मानव समीक्षा दर्ज करता है, ताकि जोखिम भरे बदलावों की समीक्षा लोग करें और ऑडिट ट्रेल दिखाए कि किसने क्या स्वीकृत किया।
किसी एक मॉडल वेंडर पर आपकी निर्भरता क्या है?
Ciao फ़ॉलबैक के साथ एक मल्टी-प्रोवाइडर मॉडल लैडर चलाता है, जो किसी एक मॉडल वेंडर पर निर्भरता कम करता है। मॉडल वेंडर की शर्तें, ज़ीरो रिटेंशन सहित, प्रोक्योरमेंट के दौरान कॉन्ट्रैक्चुअल समीक्षा का हिस्सा हैं।