原则
不可让步项。
SYMMACHY 如何运营、决策、发布与响应。每一条原则均可在代码、CI 中,或在创始人对一起被拒合作的签字中得到执行。
A. 工程
- A.1
- 证据即产品。若一项断言无法由第三方对照公开日志验证,该断言不发布。
- A.2
- 前沿构件,堡垒级集成。最先进的零部件,但以可重现构建与已签名清单缝合,而非用胶带凑合。
- A.3
- 模拟器是权威。在数字孪生中验证过的行为,先于对实战编队的任何更改。
- A.4
- 不部署即无毁路径。每一系统都有经测试的回滚与客户可访问的关停开关。
- A.5
- 可逆胜于速度。二十四小时内的可逆决策胜过一小时内的不可逆。
- A.6
- 无黑盒自主。每一项自主决策须可由公开日志在无我方配合下重建。
- A.7
- 软件优先的硬件。硬件包络服务于软件契约,而非反之。
- A.8
- 生产级或不发。我们不发布连自己都不愿运行的演示。
- A.9
- 任何承重之处,至少两家供应商。保护路径上不允许单一供应商锁定。
- A.10
- 成本是一种安全属性。客户付不起继续运行成本的系统,终将被关闭。
B. 运营
- B.1
- 《使用授权》就是合同。超出范围的操作需要新的签署,而非变通。
- B.2
- 被拒的合作可见。季度公开摘要,从不署对手方,始终署原则。
- B.3
- 无单一客户超过 ARR 的 35%。独立性是结构性的,不是口号。
- B.4
- 事件响应是 P0 级产品。运行手册经签名、演练已排期、证据可携带。
- B.5
- 事后复盘无责且经签名。签字即问责;归责则不。
- B.6
- 季度演练,而非年度审计。持续证明胜过周期性表演。
- B.7
- 客户从不目睹一摞供应商。SYMMACHY 整合上游复杂性,使客户面对单一负责的接口。
- B.8
- 文档是交付物。未文档化的行为对客户与审计师而言不存在。
C. 安全
- C.1
- 默认零信任,无处例外。身份、设备、网络、工作负载——持续验证。
- C.2
- 无长期密钥。短期凭证,在威胁模型必要时由硬件支撑。
- C.3
- 客户数据由客户管理密钥。撤销在客户手中,以秒计,不走工单。
- C.4
- 供应链完整性不可让步。可重现构建,SLSA 第三级起,每一份制品已签名。
- C.5
- 对抗性思维持续在位。内部红队针对每一次发布运作。
- C.6
- 数据按设计最小化。我们不收不需要的;所收之物,我们解释。
- C.7
- 物理默认安全失败。在疑虑中,自主物理系统安全停机;不擅自即兴。
D. AI
- D.1
- 模型受策略边界约束。输入域、输出模式、延迟与拒绝行为在部署前签名。
- D.2
- 每一项输出附溯源。模型 ID、版本、输入与输出哈希、策略哈希——已记录、可验证。
- D.3
- 幻觉是安全事件。其分流严谨度等同于凭证泄漏。
- D.4
- 前沿风险评估持续在位。新能力在抵达客户前触发新的风险评审。
- D.5
- 拒绝部署我方无法关闭的模型。关停开关是模型的一部分,而非其上之层。
- D.6
- 不可逆动作默认人在环。移除人在环须《使用授权》中文档化的条款。
E. 人
- E.1
- 使命高于头衔。章程高于组织架构图。
- E.2
- 创始人手持电台。在安全与运营负责人聘任之前,创始人亲自值班。
- E.3
- 前十位招聘定义后一百位。我们慢招。
- E.4
- 薪酬对内透明,对外按区间公布。无私下议价,无信息不对称。
- E.5
- 股权是实质的,不是象征的。归属是真的,区间已公布,上行被分享。
- E.6
- 远程优先,聚集纪律。默认异步,辅以为信任与方向所设的结构性当面仪式。