Безопасность — не слой, добавленный в конце. Это часть обучения, развёртывания и реагирования на инциденты.
Системы должны помогать как можно большему числу людей, на их языке и с их контекстом.
Мы говорим, что знаем и чего не знаем. Цитируем источники. Признаём ошибки.
Мы не помогаем причинить вред. Оцениваем перед развёртыванием и наблюдаем после.
Мы публикуем оценки, методы и результаты — включая отрицательные.
Четыре этапа, которые мы повторяем для каждой модели, функции и развёртывания.
Команда безопасности участвует с первой строки кода каждой модели. Не ревьюер — соавтор.
Перед каждым запуском прогоняем 612 тестов в 11 категориях. Результаты идут в публичный отчёт.
Начинаем с закрытой группы, затем масштабируем по странам и тарифам, наблюдая за инцидентами в реальном времени.
Если что-то ломается — обнаруживаем за 15 минут и публикуем разбор за 7 дней.
“Безопасность — это публичное обязательство, иначе её нет. Если только мы знаем, что измеряем, только мы можем сказать, что прошли.”
Техническая карточка каждой модели с её оценками по полной системе.
Что можно и чего нельзя делать с vMira — и почему.
Операционные решения, отчёты об инцидентах и разборы.