Enterprise
Model keamanan enterprise Ciao
Beban kerja yang terisolasi, perubahan yang terus diuji, dan temuan keamanan yang dikonfirmasi terhadap aplikasi langsung — didokumentasikan dalam security pack yang bisa dibaca peninjau Anda di bawah NDA.
Model keamanan enterprise Ciao menggabungkan infrastruktur yang terisolasi per proyek dengan pengujian keamanan berkelanjutan: pemindaian statis, pemeriksaan dependensi, probe kontrol akses, dan kerentanan yang dikonfirmasi terhadap aplikasi langsung sebelum ditandai. Berbeda dari alat coding AI yang berhenti pada menghasilkan kode, Ciao memperlakukan keamanan sebagai bagian dari loop delivery — dengan laporan SOC 2 Type II tersedia di bawah NDA dan security pack tersedia atas permintaan.
Dipublikasikan 2026-07-03 · Terakhir diperbarui 2026-07-03
Kenapa model keamanan lebih penting ketika AI ada dalam loop
Pengembangan berbantuan AI mengubah pertanyaan yang harus dijawab tinjauan keamanan. Volume kode naik, frekuensi perubahan naik, dan kelas pemasok baru — vendor model — masuk ke diagram alur data Anda. Platform yang menghasilkan software produksi harus menunjukkan tiga hal dengan jelas kepada Anda: di mana beban kerja berjalan dan bagaimana diisolasi, bagaimana perubahan diuji sebelum dan sesudah dirilis, dan apa yang terjadi pada kode dan data yang melewati sistem.
Sebagian besar alat di kategori ini menjawab dengan daftar fitur. Seorang CISO butuh bukti: audit independen, sekumpulan dokumen yang bisa ditinjau tim di bawah NDA, dan kontrol yang bisa Anda saksikan beroperasi selama evaluasi. Model keamanan Ciao dibangun untuk diperiksa, bukan sekadar dideskripsikan.
Halaman ini merangkum modelnya — isolasi, enkripsi, pengujian berkelanjutan, dan probe keamanan langsung — dan menyatakan persis bagaimana memverifikasi setiap bagiannya. Tidak ada yang seharusnya diterima begitu saja di sini; setiap klaim terkait dengan dokumen yang bisa Anda minta atau kontrol yang bisa Anda saksikan berjalan.
Apa yang disediakan Ciao
Setiap butir di bawah ini terkait dengan kontrol yang bisa Anda verifikasi selama tinjauan.
- Infrastruktur terisolasi — Proyek berjalan di Kubernetes dalam pod terisolasi, dengan hibernasi dan wake serta dukungan multi-region — infrastruktur yang dirancang untuk berskala tanpa mengaburkan batas beban kerja antar pelanggan atau proyek.
- Pemindaian statis dan dependensi — Engineer Security Ciao menjalankan pemindaian statis dan pemeriksaan dependensi sebagai bagian dari loop delivery, sehingga kode yang dihasilkan maupun yang ditulis manusia sama-sama diperiksa sebelum publikasi.
- Probe kontrol akses — Security memprobe aturan akses terhadap aplikasi yang berjalan, bukan hanya membaca kodenya, menguji apa yang benar-benar bisa dijangkau penyerang.
- Temuan terkonfirmasi langsung — Kerentanan dikonfirmasi terhadap aplikasi langsung sebelum ditandai, sehingga tim Anda meninjau eksposur nyata, bukan derau pemindai.
- Visibilitas aman-untuk-publikasi — Dashboard aman-untuk-publikasi menunjukkan apakah sebuah proyek layak dirilis, dipasok oleh pemindaian, probe, dan temuan yang terkonfirmasi.
- Identitas dan akses — SSO via SAML dan OIDC, MFA opsional, dan kontrol akses berbasis peran di seluruh workspace dan proyek.
- Kemampuan diaudit — Jejak audit append-only mencatat prompt, merge, deploy, dan aksi admin.
- Penanganan data model — Kode pelanggan tidak digunakan untuk melatih model, dan inferensi berjalan di bawah kontrak model tanpa retensi.
Bagaimana pengujian keamanan berjalan dalam praktik
1. Membangun secara terisolasi
Setiap proyek dibangun dan berjalan di pod terisolasinya sendiri, sehingga perubahan di satu proyek tidak bisa menjangkau runtime proyek lain.
2. Pindai
Pemindaian statis dan pemeriksaan dependensi berjalan terhadap basis kode, menangkap pola kerentanan yang diketahui dan paket yang rentan sebelum dirilis.
3. Probe
Probe kontrol akses menguji aplikasi yang berjalan — endpoint, peran, akses data — dengan cara yang akan dilakukan pihak luar.
4. Konfirmasi
Temuan dikonfirmasi terhadap aplikasi langsung sebelum ditandai, yang menjaga antrean tetap singkat dan kredibel bagi manusia yang mentriasenya.
5. Gate
Smoke gate QA berjalan sebelum publikasi, dan Guardrails menerapkan kebijakan berbahasa sederhana dengan tinjauan manusia tercatat untuk perubahan berisiko.
6. Pantau
Setelah publikasi, pemeriksaan produksi QA terus berjalan, dan Doctor — AI SRE read-only — memprobe aplikasi langsung, DNS, dan CDN untuk mendiagnosis masalah lebih awal.
Isolasi dan enkripsi
Isolasi beban kerja bersifat struktural: Kubernetes dengan pod terisolasi per proyek, bukan runtime bersama dengan pemisahan logis yang ditambal belakangan. Enkripsi dalam transit dan saat disimpan adalah praktik standar di platform ini, dan detail yang penting bagi peninjau — protokol, manajemen kunci, cakupan — didokumentasikan dalam security pack, bukan dipadatkan menjadi satu kalimat pemasaran di sini. Jika tinjauan Anda butuh detailnya, minta pack-nya dan baca jawaban sesungguhnya.
Tim yang butuh batasan yang lebih ketat bisa deploy ke akun AWS, Azure, atau GCP mereka sendiri atau VPC privat; on-prem tersedia di bawah syarat terpisah. Dalam postur-postur itu, aplikasi dan datanya berjalan di dalam infrastruktur yang sudah Anda kendalikan dan pantau.
Verifikasi: cara memeriksa setiap klaim di halaman ini
Laporan SOC 2 Type II tersedia di bawah NDA — catatan independen dan teraudit tentang bagaimana kontrol ini beroperasi seiring waktu. Security pack, tersedia atas permintaan melalui halaman kontak, mencakup arsitektur, isolasi, enkripsi, dan penanganan data dengan detail setara peninjau. Dan karena kontrol keamanannya bagian dari produk, Anda bisa menyaksikannya berjalan: minta walkthrough langsung tentang pemindaian, probe kontrol akses, dan tampilan aman-untuk-publikasi selama evaluasi Anda. Program produksi serius mulai dari 10.000 USD per tahun; cakupan dan postur disepakati dengan tim enterprise.
Kontrol demi kontrol: apa yang disediakan Ciao dan cara memverifikasinya
| Kontrol | Apa yang disediakan Ciao | Cara memverifikasi |
|---|---|---|
| Isolasi beban kerja | Kubernetes dengan pod terisolasi per proyek | Detail arsitektur dalam security pack |
| Deteksi kerentanan | Pemindaian statis, pemeriksaan dependensi, probe kontrol akses | Walkthrough langsung dashboard Security |
| Kualitas temuan | Kerentanan dikonfirmasi terhadap aplikasi langsung sebelum ditandai | Tinjau satu temuan dari awal sampai akhir dalam demo |
| Identitas dan akses | SSO via SAML dan OIDC, MFA opsional, RBAC | Walkthrough konfigurasi dengan IdP Anda |
| Penanganan data model | Tidak ada pelatihan pada kode pelanggan; kontrak model tanpa retensi | Syarat kontrak selama procurement |
| Audit independen | SOC 2 Type II | Laporan di bawah NDA, diminta melalui /contact |
Pertanyaan yang sering diajukan
Apakah Anda menjalankan penetration test?
Detail program pengujian ada di dalam security pack, yang tersedia atas permintaan di bawah NDA, bukan dirangkum dalam materi pemasaran. Terlepas dari latihan point-in-time mana pun, platform ini secara berkelanjutan memindai kode dan dependensi serta memprobe kontrol akses terhadap aplikasi langsung.
Apakah kode atau data kami digunakan untuk melatih model?
Tidak. Kode pelanggan tidak digunakan untuk melatih model, dan inferensi berjalan di bawah kontrak model tanpa retensi. Bahasa kontraktualnya adalah bagian dari kumpulan dokumen yang ditinjau tim legal Anda selama procurement.
Bisakah kami menjalankan Ciao di dalam batasan keamanan kami sendiri?
Ya. Anda bisa deploy ke akun AWS, Azure, atau GCP Anda sendiri atau VPC privat, dan on-prem tersedia di bawah syarat terpisah. Bicarakan dengan tim enterprise tentang postur mana yang cocok untuk tinjauan Anda.
Bagaimana Anda mencegah perubahan yang dihasilkan AI memasukkan kerentanan?
Setiap perubahan melewati loop yang sama: pemindaian statis, pemeriksaan dependensi, dan probe kontrol akses, dengan temuan dikonfirmasi terhadap aplikasi langsung sebelum ditandai. Guardrails menerapkan kebijakan berbahasa sederhana dan mencatat tinjauan manusia, sehingga perubahan berisiko ditinjau oleh manusia dan jejak audit menunjukkan siapa yang menyetujui apa.
Seberapa besar ketergantungan Anda pada satu vendor model?
Ciao menjalankan model ladder multi-provider dengan fallback, yang mengurangi ketergantungan pada satu vendor model saja. Syarat vendor model, termasuk zero retention, adalah bagian dari tinjauan kontraktual selama procurement.