2026-05-02 · cgf / release
CGF v1.0 が来ました
CGF v1.0 が来ました
Code Daimyo — 2026 年 5 月
2026 年のコンプライアンスは、いまだほとんど PDF の問題です。チームが機能を作り、モデルを出荷し、エンドポイントをデプロイする — そしてどこか別のツールで、別のチームがスクリーンショットを撮り、スプレッドシートを埋め、監査人にメールを送る。半年後、リリース当日に何が真であったかを誰も再構成できません。
私たちはそれを馬鹿げていると考えます。コードには Git、署名、再現可能なビルド、差分があります。コンプライアンス・エビデンスも同じプリミティブに値します。それが CGF — Compliance Graph Format の正体であり、本日その v1.0 をリリースします。
CGF とは
コードベースを署名済みで検証可能なコンプライアンス・グラフに変える、小さく主張のあるツールチェーン:
- グラフ — コードファイル、シンボル、モデル、プロンプト、データセット、エンドポイント、ポリシー、コントロール、リスク、エビデンス、承認、デプロイ、関係者、開示、そしてその間の型付き辺。
- クレーム・パック — EU AI Act(第 9・13・15 条)、GDPR 第 30 条、SOC 2 Common Criteria のような体系のための差し替え可能なルール集合。
- バンドル — Ed25519 署名と RFC 3161 タイムスタンプを伴う単一の
.cgfevidenceファイル。任意のマシンで、オンラインでもオフラインでも検証可能。 - トラスト・ストア + ポリシー・プリセット — ローカルの鍵レジストリと再利用可能なポリシー不変条件(最少署名者数、要信頼、要タイムスタンプ、…)。
四つの動詞: ingest → check → bundle → verify。
なぜグラフか?
コンプライアンスの問いはグラフの問いだからです:
- 「どのエンドポイントが個人データに触れるか?」 —
Endpoint → reads → Datasetを辿る。 - 「どのモデルにリスク評価が欠けているか?」 — 入力辺
Risk → applies_toのないModelノードを探す。 - 「どのデプロイを誰が承認したか?」 —
Approval → gates → Deploy → shipped → Endpoint。
グラフがひとたび署名されれば、答えは意見ではなくエビデンスになります。
v1.0 に何が入っているか
- 完全な EU AI Act 高リスク・パック — 第 9・13・15 条、構造化された違反と人間可読のナラティブ付き。
- 複数署名者 Ed25519 署名、任意で信頼する TSA からの RFC 3161 タイムスタンプ。
- export/import 付きのトラスト・ストア — ラップトップ・CI ランナー・エアギャップの監査機の間で、JSON 一枚で信頼を移動。
.cgfevidenceのドラッグ&ドロップとベースライン↔ヘッド差分ビューを備えたバンドル・インスペクタ UI。- ソースから署名済みバンドルまで五ステップのバンドル・クリエイターウィザード。
- ポリシー・プリセット — 同梱(Open、Minimal trust、EU AI Act high-risk、Banking grade)とユーザー定義。
- 端から端までのヘルスチェックのための
cgf doctor。 - 206 / 206 テスト通過。
試す
cgf ingest
cgf check
cgf bundle --out dossier.cgfevidence
cgf verify dossier.cgfevidence
あるいは DPW を開き、.cgfevidence ファイルをバンドル・インスペクタにドロップし、差分が現れるのを眺めてください。
次に来るもの
- CI ネイティブ検証 — コンプライアンスが後退した PR を落とすための GitHub Action と GitLab テンプレート。
- コンプライアンス・ポータル —
.cgfevidenceバンドルを直接消費する監査人向けのホスト型ビューア。 - コネクタ・パック — もっとも一般的な ML 実験トラッカー、特徴量ストア、ポリシー・エンジンへのファーストクラスな ingestor。
- daitai-algebra との統合 — 主張するだけでなく、実際に証明できる不変条件。
EU AI Act のもとで AI 製品を出荷しているチーム、あるいは SOC 2 監査をスクリーンショットで乗り切ることに疲れている方、ぜひフィードバックをお寄せください。
— Code Daimyo チーム