Skip to content

實作者報告 — Implementer Report

Implementer Report

一個規格要到有不只一個引擎能用同一種方式實作它時,才算真實。本報告列出執行或引用 ATR 的組織——每一個都是一個獨立證據:證明這個格式可以只憑規格就被實作出來——這正是 W3C 靠實作數量推進標準的方式。透過 pull request 對 ADOPTERS.md registry 自我宣告 (self-declaration)。

Working Draft·版本 3.5.6·更新於 16 June 2026·正式網址 /spec·編輯 Adam Lin

本報告中的「符規等級 (Conformance)」係依 /spec 中定義之 L1 / L2 / L3 等級判讀。 查看符規等級定義

目前實作者

下表列出已整合或引用 ATR 的組織。符規等級欄位區分 L1 Engine(在自家偵測引擎中實際執行 ATR 規則)與 L1 Citation / L1 Galaxy(引用或編入分類法)。Engine 一行的份量最重——它代表又有一個獨立團隊只憑規格就把這個格式實作出來,而且在生產環境裡跑得起來。每一筆紀錄連結至構成公開採用證據的合併 pull request 或整合 commit;沒有任何一筆是私下宣稱的,全部可在 GitHub 上自行驗證。

Microsoft Agent Governance Toolkit

符規等級
L1 Engine
規格版本
3.0.0-alpha
整合日期
2026-04-26
PR #1277

Cisco AI Defense (skill-scanner)

符規等級
L1 Engine
規格版本
2.2.0
整合日期
2026-04-22
PR #99

MISP — CIRCL (galaxy)

符規等級
L1 Galaxy
規格版本
2.2.0
整合日期
2026-05-10
galaxy #1207

MISP — CIRCL (taxonomies)

符規等級
L1 Citation
規格版本
2.2.0
整合日期
2026-05-10
taxonomies #323

OWASP A-S-R-H Project

符規等級
L1 Citation
規格版本
2.2.0
整合日期
2026-05-11
PR #74

Gen Digital Sage (Norton / Avast / LifeLock)

符規等級
L1 Engine
規格版本
2.2.0
整合日期
2026-05-11
PR #33

本報告由 ADOPTERS.md 為單一可信來源 (single source of truth) 自動生成。維護者不預先審核採用者 — 只要 PR 符合 schema、附上可驗證的公開證據連結即可合併。 ADOPTERS.md ↗

標準機構 submission(審查中,非採用)

ATR 把 AI RMF 社群版 OSCAL catalog 提交給 NIST 官方 usnistgov/oscal-content,目前 submission 審查中(NIST OSCAL maintainer 開了 collaboration branch #338)。這不是 NIST 採用、不是 NIST 背書,因此不列入上方生產實作者表。 #338 ↗

如何自我認證

ATR 採用 self-certification 模型:符規靠跑出來,不靠宣稱。實作者於本地執行 conformance 測試套件,再對 ADOPTERS.md 提出 PR 加入整合 metadata。沒有審查委員會、沒有付費認證——加入這份報告唯一的門檻,就是公開地通過測試。下列三步驟為 self-certification 的最小流程。

  1. 在本地執行 conformance 測試套件. Test suite 由 YAML fixtures 組成,儲存於主 repository 的 spec/conformance/。每個 fixture 配對一條規則與其在固定事件 (event) 上的預期評估結果。實作通過的條件是:每個 fixture 都如宣告般評估。
  2. 對 ADOPTERS.md 提交 pull request. 提交目標為 ADOPTERS.md ↗ 於主分支。維護者通常於 7 日內完成 schema 驗證並合併。
  3. 於 PR 中包含完整整合 metadata. 至少包含:組織名稱、整合所使用之規格版本、整合日期 (ISO 8601)、公開可驗證之證據連結 (PR、commit、或對外文件 URL),以及自我宣告之符規等級 (L1 Engine / L2 Publisher / L3 Sub-range Authority)。

TSC 保留隨時對任一已發布之 self-certification 重跑測試套件以驗證其結果之權利。

符規等級摘要 Informative

本節為非規範性 (informative) 摘要。正式之規範性文字請見 /conformance。

L1 Engine Conformance

L1 engine 是讓格式可攜的那一層。它 MUST 能解析任何通過 spec/atr-schema.yaml 驗證的規則,MUST 以 §3.5 定義的語意評估 detection.conditions,並 MUST 遵守 scan_target 與 status 的語意——好讓同一條規則,無論引擎出自誰手,都得出同一個判定。L1 engine MAY 拒絕落在其宣告 scan_target 範圍外的規則。

L2 Publisher Conformance

L2 publisher 在廠商前綴 (vendor-prefixed) 的子範圍 (例如 ACME-YYYY-NNNNN) 內發布符合 ATR 語意的規則。L2 publisher MUST 遵守 §3.7 的廢棄政策,SHOULD 為每一條發布規則附上 test_cases。

L3 Sub-range Authority

L3 sub-range authority 是國家級或組織級的主體,在主權 (sovereign) 前綴下鑄造規則 (例如 ATR-TW-2026-NNNNN)。授權依 /charter §5 程序核發;TSC 成立後由其核發,在此之前由主理人 (BDFL) 暫代。

查看完整規範性文字包含測試套件結構、自我認證程序、與符規驗證流程。


編輯: Adam Lin <[email protected]> — DOI 10.5281/zenodo.19178002 — MIT License — ISO 8601 2026-06-16