Przejdź do głównej treści
Pakiet zgodności to framework — SOC 2, HIPAA, GDPR, ISO 27001, OWASP LLM Top 10 — zmapowany na kontrole bramy, które go spełniają. Gdy instalujesz pakiet zgodności, OrcaRouter nie tylko zakłada zakładkę na frameworku: materializuje kontrole pakietu w prawdziwy, edytowalny Guardrail (płaszczyzna treści) i prawdziwą politykę Firewall (płaszczyzna wywołań narzędzi), oznaczone proweniencją pakietu, więc każda istniejąca ścieżka egzekwowania, przywiązania i historii działa bez zmian. Instalacje lądują w trybie obserwacji — guardrail flaguje zamiast blokować, firewall działa w trybie cienia — więc zbierasz dowody „by-zablokowano”, zanim cokolwiek wpłynie na ruch na żywo. Bierzesz to na żywo później, rozmyślnie, z konsoli.
Przeglądanie katalogu i sprawdzanie gotowości są darmowe dla każdego członka przestrzeni roboczej. Zainstalowanie pakietu to akcja Admina przestrzeni roboczej i wymaga płatnego planu — brama egzekwuje obie po stronie serwera, więc bezpośrednie wywołanie API nie może obejść bramki.

1. Co „zainstaluj pakiet zgodności” faktycznie robi

Jedno wywołanie instalacji zapisuje atomowo trzy rzeczy do twojej przestrzeni roboczej:
Kontrole płaszczyzny treści pakietu scalają się w jeden nazwany guardrail — <Pack> (Compliance) (np. SOC 2 (Compliance)). W trybie obserwacji każda akcja (i każda akcja per-encja) jest wymuszana na flag, więc oznacza dopasowania bez blokowania lub maskowania prawdziwego ruchu.
Kontrole wywołań narzędzi pakietu scalają się w jedną nazwaną politykę firewalla — <Pack> (Compliance — tools) (np. SOC 2 (Compliance — tools)) — utworzoną z włączonym shadow_mode, więc ewaluuje i loguje każde pokryte wywołanie jako [shadow] would …, ale nigdy nie odmawia.
Wiersz pakietu zgodności przestrzeni roboczej łączy dwie zmaterializowane polityki, przypina wersję katalogu, zapisuje, które kontrole wybrałeś, i stempluje, kto go zainstalował — plus wpis w logu audytu.
Ponieważ instalacja produkuje standardowe obiekty guardrail i firewall, możesz je otworzyć w konsoli później, odczytać każdą regułę, stroić je i przywiązać politykę firewalla do klucza przez firewall_policy_id — zupełnie jak każdą politykę, którą autorowałeś ręcznie.

2. Zainstaluj pakiet zgodności z konsoli

Konfiguracja zgodności używa twojej sesji konsoli (UserAuth), nie klucza relay. Zrób to w konsoli:
1

Otwórz katalog zgodności

Przejdź do Compliance w konsoli przestrzeni roboczej. Przeglądaj katalog i otwórz framework, którego potrzebujesz — na przykład SOC 2 (soc2) lub OWASP LLM Top-10 (owasp_llm). Każdy pakiet listuje swoje kontrole, na której płaszczyźnie ląduje każda kontrola, oraz oficjalne odniesienie.
2

Wybierz kontrole (lub weź wszystkie)

Zainstaluj cały framework lub wybierz podzbiór kontroli. Pusty wybór instaluje każdą kontrolę w pakiecie.
3

Zainstaluj

Jako Admin przestrzeni roboczej na płatnym planie kliknij Install. Pakiet materializuje się w trybie obserwacji natychmiast. Ponowne zainstalowanie już zainstalowanego pakietu jest idempotentne — zwraca istniejący rekord, nie duplikat.
4

Obserwuj dowody, potem przejdź na żywo

Pozwól, by guardrail i firewall w trybie cienia akumulowały dopasowania by-zablokowano. Gdy postawa wygląda dobrze, weź pakiet na żywo, aby przełączyć zadeklarowane akcje i (opcjonalnie) promować polityki na domyślne twojej przestrzeni roboczej. Zobacz Obserwacja vs egzekwowanie.
Zainstaluj pakiet OWASP LLM Top-10 najpierw, jeśli nie jesteś pewien, gdzie zacząć — mapuje się bezpośrednio na zagrożenia, które obejmuje ta sekcja dokumentów (injection, niebezpieczna obsługa wyjścia, ujawnienie wrażliwych informacji, wyciek system-promptu i nadmierna sprawczość) i daje ci konkretną postawę do obserwacji.

3. Leżące u podstaw wywołanie

Konsola napędza jeden endpoint. Jest udokumentowany tutaj, abyś mógł zobaczyć jego kształt, audytować go lub skryptować wewnętrzny przepływ provisioningu — ale brama wymaga tokenu sesji Admina przestrzeni roboczej i płatnego planu, aby do niego dotrzeć: 
POST /api/compliance/packs/{key}/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ "controls": ["owasp.llm01_injection", "owasp.llm08_excessive_agency"] }
Puste ciało instaluje wszystkie kontrole w pakiecie: 
POST /api/compliance/packs/owasp_llm/install
Odpowiedź to rekord instalacji — klucz pakietu, przypięta wersja, mode: observe oraz id zmaterializowanych guardrail_id i firewall_policy_id, abyś mógł je od razu otworzyć.
Zniekształcone (niepuste, ale nieparsowalne) ciało jest odrzucane, nie po cichu traktowane jako „zainstaluj wszystko” — więc błąd serializacji klienta nigdy nie może po cichu poszerzyć częściowej instalacji do pełnego frameworka. Wyślij poprawny JSON lub nie wysyłaj nic.

4. Po zainstalowaniu

NastępnieGdzie
Zobacz, co jest w pakiecieZawartość pakietu
Weź na żywoObserwacja vs egzekwowanie
Generuj podpisane dowodyPodpisany raport
Instalacja to tani, odwracalny pierwszy ruch: nie kosztuje ruchu na żywo, jest idempotentna, a odinstalowanie usuwa obie zmaterializowane płaszczyzny czysto. Rozmyślnym krokiem jest przejście na żywo — to tam zadeklarowane akcje block/mask/deny się włączają.
Dlaczego płatny plan, by zainstalować, a nie tylko by egzekwować? Zmaterializowanie frameworka w żywo-edytowalną politykę to moment wartości — brama bramkuje to przy instalacji i ponownie przy przejściu na żywo, więc granica upgrade’u jest wyraźna, nigdy nie zaskakujące 403 w trakcie wdrożenia.

5. Powiązane

Bramkowanie planami

Dokładnie które akcje zgodności są darmowe, a które potrzebują płatnego planu.

Obserwacja vs egzekwowanie

Jak tryb obserwacji zbiera dowody i co się zmienia przy przejściu na żywo.

Macierz kontroli

Jak każda kontrola frameworka mapuje się na guardrails bramy i reguły firewalla.

OWASP LLM Top 10

Pakiet, który mapuje się na zagrożenia bezpieczeństwa agentów w tej sekcji.

Referencja Guardrails

Płaszczyzna treści, którą materializuje instalacja — reguły, PII, akcje.

Referencja Agent Firewall

Płaszczyzna wywołań narzędzi, którą materializuje instalacja — werdykty i powierzchnie.
Co do szerszego obrazu, którą stronę linii posiadasz ty, a którą brama, zobacz Współdzielona odpowiedzialność; co do katalogu frameworków, zobacz Frameworki.