Przejdź do głównej treści
Każda płaszczyzna kontrolna na OrcaRouter ma dwie postawy: obserwację, gdzie brama ewaluuje i loguje, co polityka by zrobiła, ale nigdy nie zmienia odpowiedzi, oraz egzekwowanie, gdzie ta sama polityka faktycznie blokuje, maskuje lub wstrzymuje wywołanie. Podział pozwala ci obserwować framework wobec twojego prawdziwego ruchu przez tydzień, zanim choć jedno żądanie kiedykolwiek zawiedzie — potem przełączasz na żywo, gdy liczby wyglądają dobrze. Ta strona to skierowana do klienta mapa tej granicy: która postawa jest darmowa, która płatna, kto może ją zmienić i jak czytać lukę między dwiema, zanim się zobowiążesz.

1. Dlaczego obserwacja egzekwowanie zgodności to dwustopniowa bramka

Framework zgodności, który blokuje pierwszego dnia, to framework, który wyłączasz drugiego dnia. Uczciwa sekwencja jest taka: zainstaluj w obserwacji, odczytaj liczby „by-zablokowano” wobec twojego własnego ruchu, napraw luki, o których nie wiedziałeś, że masz, potem przejdź na żywo. OrcaRouter wbudowuje tę sekwencję w model postawy, więc nigdy nie musisz zgadywać. (Zainstalowanie pakietu to płatny krok Admina na każdym planie — obserwacja i egzekwowanie to dwie postawy tego samego płatnego pakietu, nie darmowa warstwa i płatna warstwa. Darmowa ścieżka obserwacji żyje na płaszczyznach Firewall i Guardrails, które nie niosą bramki planu.)

Obserwacja — darmowa na Firewall i Guardrails

Umieść politykę Firewall w shadow_mode lub Guardrail w trybie audytu, a brama ewaluuje ją wobec ruchu na żywo i rejestruje, co by zrobiła — bez żadnej zmiany odpowiedzi. Bez planu; zapisy są bramkowane do Developer+. Przeglądanie katalogu zgodności i odczyt zwinięć gotowości są też darmowe dla każdego członka przestrzeni roboczej.

Pakiety zgodności — płatne, tylko Admin

Płaszczyzna pakietu zgodności — instalacja pakietu (nawet w obserwacji), konfiguracja kontroli i przejście na żywo — wymaga płatnego planu i roli Admin przestrzeni roboczej. Przejście na żywo to moment, w którym zmaterializowane reguły pakietu faktycznie zaczynają blokować, maskować i wstrzymywać wywołania.
Obserwacja to nie rozwodniony trial. Uruchamia ten sam silnik ewaluacji co egzekwowanie wobec tego samego ruchu na żywo — po prostu tłumi efekt werdyktu. Liczby, które widzisz w obserwacji, to liczby, które dostaniesz, gdy przełączysz przełącznik.

2. Jak wygląda każda postawa na różnych płaszczyznach

Dwustopniowa bramka nie jest unikalna dla pakietów zgodności — każda płaszczyzna wystawia odpowiednik obserwacji. Wszędzie ta sama idea: ewaluuj i loguj, nie działaj.
PłaszczyznaPostawa obserwacjiPostawa egzekwowania
Pakiet zgodności (płatny)Zainstalowany w trybie observe — zmaterializowane reguły tylko logujągolive przełącza pakiet na enforce
Polityka Firewallshadow_mode — werdykty logowane jako [shadow] would …Na żywo deny / sanitize / pending_approval
Przestrzeń robocza Firewallfirewall_observe_mode — loguje niepokryte wywołania jako lukiPolityki ewaluują i działają na pokrytych powierzchniach
Poziom autonomiipermissive — tylko obserwacja, brak egzekwującej politykibalanced / tight — prawdziwe wiersze audytu i deny
Zainstalowanie pakietu zgodności zapisuje prawdziwe, edytowalne polityki Guardrails i Firewall do twojej przestrzeni roboczej w postawie obserwacji (polityki firewalla lądują w shadow_mode). Przejście na żywo to tylko przełączenie postawy na wierszach, które już istnieją — nie ponowna instalacja.

3. Jeden konkretny przewodnik

Oto pełna pętla obserwacja-do-egzekwowania dla pojedynczego frameworka. Przeglądanie katalogu i odczyt zwinięć są darmowe; zainstalowanie pakietu (nawet w obserwacji) i finalny golive wymagają płatnego planu i Admina.
1

Przeglądaj katalog (darmowe, każdy członek)

Otwórz Compliance w konsoli i przejrzyj dostępne frameworki. Każdy członek przestrzeni roboczej może odczytać katalog, listę zainstalowanych pakietów i zwinięcie gotowości — bez planu.
# Tylko do odczytu, uwierzytelnione sesją (UserAuth) — robione z konsoli.
GET /api/compliance/catalog
GET /api/compliance/readiness
2

Zainstaluj w obserwacji (płatny plan, Admin)

Z karty frameworka wybierz Install. Zainstalowanie pakietu zgodności wymaga płatnego planu — serwer odrzuca instalację na darmowym planie. Pakiet materializuje swoje reguły guardrail i firewall w postawie obserwacji (reguły firewalla w shadow_mode, akcje guardrail wymuszane na tylko-loguj), więc brama ewaluuje je wobec twojego ruchu na żywo natychmiast i loguje każde by-zablokowano bez zmiany choćby jednej odpowiedzi.
# Płatny + Admin, bramkowane przez serwer. Robione z konsoli.
POST /api/compliance/packs/{key}/install
3

Odczytaj lukę (darmowe, każdy członek)

Widok gotowości pokazuje teraz licznik by-zablokowano na framework: ile prawdziwych żądań w twoim oknie wstecznym framework by zatrzymał (przypisane do wierszy płaszczyzny guardrail pakietu). Wysoka liczba to twój sygnał, by naprawić przepływ pracy zanim zaczniesz egzekwować, nie po.
4

Przejdź na żywo (płatny plan, Admin)

Gdy liczby wyglądają dobrze, Admin na płatnym planie przełącza pakiet na egzekwowanie. Te same reguły, które logowały, teraz blokują, maskują i wstrzymują — a polityka firewalla pakietu opuszcza shadow_mode.
# Płatny + Admin, bramkowane przez serwer. Robione z konsoli.
POST /api/compliance/packs/{key}/golive
Trasy konfiguracji (/api/compliance/*, /api/guardrail/*, /api/workspace/firewall/*) uwierzytelniają się twoją sesją konsoli, nie kluczem relay. Tylko wywołania modelu /v1/* używają klucza sk-orca-…. Powyższe przykłady są pokazane jako trasy dla jasności, ale napędzasz je wszystkie z konsoli.

4. Granica darmowe / płatne, dokładnie

Na płaszczyźnie zgodności tylko odczyt twojej postawy jest darmowy; w chwili, gdy materializujesz pakiet, jesteś na płatnej ścieżce. Sprawdzenie planu jest egzekwowane po stronie serwera — bezpośrednie wywołanie API nie może go obejść.
Przeglądanie katalogu frameworków, listowanie zainstalowanych pakietów, odczyt zwinięcia gotowości, odczyt skonfigurowanej rezydencji danych i listowanie metadanych raportów są otwarte dla każdego członka bez kosztów. Generowanie pierwszego raportu zgodności twojej przestrzeni roboczej jako PDF jest również darmowe.
Zainstalowanie pakietu (nawet w obserwacji), konfiguracja kontroli, przejście pakietu na żywo (golive), generowanie dodatkowych podpisanych raportów poza pierwszym oraz eksport dowodów jako CSV/JSON — wszystko wymaga płatnego planu i roli Admin. Płaszczyzna zgodności nie ma darmowej warstwy obserwacji — sama instalacja jest płatną zaporą.
Ustawienie rezydencji danych jest bramkowane rolą Admin przestrzeni roboczej, ale nie jest za płatnym planem — każdy Admin może ustawić region.
Raporty są publicznie weryfikowalne po wygenerowaniu — każdy, kto ma artefakt, może potwierdzić jego podpis bez konta przez weryfikację raportu. Każdy raport jest podpisany (PDF, CSV i JSON tak samo); weryfikacja jest otwarta dla świata.

5. Odczytaj liczby by-zablokowano zanim przełączysz

Obserwacja istnieje, abyś mógł odpowiedzieć na jedno pytanie danymi zamiast odwagą: co się zepsuje, gdy to przejdzie na żywo? Dwie powierzchnie dają ci odpowiedź.
  • Zwinięcie gotowości — liczniki by-zablokowano na framework dla zainstalowanych pakietów zgodności (przypisane do wierszy płaszczyzny guardrail pakietu), więc możesz zobaczyć, które frameworki gryzą najmocniej wobec twojego ruchu wstecznego, zanim je wyegzekwujesz. Czytelne przez każdego członka przestrzeni roboczej.
  • Zdarzenia Firewall — rejestrują, co każda polityka shadow_mode by zrobiła; linia [shadow] would deny to odmowa, która jeszcze nie nastąpiła. Strumień Events jest bramkowany do Developer+ (wiersze niosą proweniencję wywołań narzędzi). Polityki firewalla, ustawienia, widok discovered-tools, symulator autonomii i strumień anomalii pozostają czytelne przez każdego członka.
  • Dopasowania Guardrails — strumień dopasowań rejestruje, co każdy guardrail w trybie audytu by oflagował. Czytelne przez każdego członka.
Ten sam etapowy rollout działa na poziomie autonomii. Zastosuj permissive (tylko obserwacja) najpierw, obserwuj strumień zdarzeń, potem przejdź do balanced i tight dla powierzchni, które na to zasługują — z cofnięciem jednym kliknięciem z migawki audytu. Zobacz bazę secure-agents.

6. Gdzie iść dalej

Bramkowanie planami

Dokładnie które akcje zgodności wymagają płatnego planu i co pozostaje darmowe na każdej warstwie.

Zainstaluj pakiet

Zmaterializuj reguły guardrail i firewall frameworka w obserwacji — płatny, Adminowy pierwszy krok przed przejściem na żywo.

Tryby egzekwowania

Pełne słownictwo postaw — obserwacja, cień, audyt i egzekwowanie — na każdej płaszczyźnie.

Współdzielona odpowiedzialność

Co egzekwuje brama, a co pozostaje twoją decyzją.
Obserwacja to miejsce, gdzie uczysz się, ile będzie cię kosztować egzekwowanie. Na płaszczyznach Firewall i Guardrails możesz obserwować za darmo; na płaszczyźnie pakietu zgodności instalacja i przejście na żywo to płatne, Adminowe kroki — odczytaj liczby by-zablokowano najpierw, potem weź to na żywo na własnych warunkach.