Vertrauen & Sicherheit
Vertrauen und Sicherheit
Niemand sollte ein Skill installieren, dem er nicht vertrauen kann. Deep Work Plan ist so gebaut, dass er verifiziert werden kann — nicht auf Treu und Glauben: Open Source, Markdown-first, nicht-destruktiv und prüfbar, bevor man ihn ausführt. Diese Seite legt offen, was er tut, was er nicht tut und wie beides bestätigt werden kann.
Was Sie vertrauen
Open Source und MIT-lizenziert
Die Website und das Skill sind beide öffentlich und diff-bar. Sie können jede Zeile lesen, bevor Sie es ausführen, und eine Kopie gegen den Quellcode eines getaggten Releases vergleichen.
Markdown-first — kein Netzwerk, keine Telemetrie
Das Skill hat kein CLI, keine HTTP-API und keinen Authentifizierungsflow. Es führt keine Netzwerkaufrufe durch und sendet keine Telemetrie; sein einziger lokaler Helfer liest git- und Umgebungsmetadaten. Nichts über Ihr Repository verlässt Ihren Rechner.
Nicht-destruktiv konzipiert
Die einzige sicherheitsrelevante Aktion des Skills besteht darin, Ihr Repository zu verändern — und es gleicht ab, anstatt zu überschreiben. Es erkennt, was existiert, schlägt einen Plan vor und fragt nach, bevor es etwas ersetzt. Plan-Ausgaben landen in einem gitignorierten .dwp/-Verzeichnis.
Berührt keine Geheimnisse
Die Methodik überträgt niemals Geheimnisse in die Versionskontrolle und hält den Arbeitsstatus außerhalb davon. Das Onboarding ergänzt die .gitignore, anstatt sie zu überschreiben, und jede Änderung soll in kleinen, lesbaren Diffs überprüft werden.
Verifizierbare Herkunft
Jedes Release veröffentlicht Prüfsummen über das ausgelieferte Skill, sodass Sie bestätigen können, dass eine heruntergeladene Kopie mit dem übereinstimmt, was veröffentlicht wurde, bevor Sie ihr vertrauen.
Vor der Ausführung verifizieren
Behandeln Sie das Skill als nicht vertrauenswürdig, bis Sie es geprüft haben. Jedes Release fügt eine SHA256SUMS-Datei bei, die das ausgelieferte Skill abdeckt. Laden Sie sie für die Version herunter, die Sie installieren möchten, und verifizieren Sie dann, dass Ihre Kopie übereinstimmt — ein Exit-Code ungleich null bedeutet, dass eine Datei nicht übereinstimmt, und Sie sollten stoppen.
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify # non-zero exit means a file does not match — stopReleases sind mit Prüfsummen versehen, aber nicht signiert — Signierung (cosign oder Betreuer-GPG) ist ein dokumentierter nächster Schritt, keine aktuelle Aussage. Da alles offen ist, können Sie auch jede Datei gegen das Repository bei seinem Tag vergleichen.
Eine Schwachstelle melden
Eine Sicherheitslücke gefunden? Melden Sie sie privat über GitHub's Private Vulnerability Reporting im entsprechenden Repository — das Skill oder die Website (siehe die unten verlinkten Sicherheitsrichtlinien) — anstatt ein öffentliches Issue zu eröffnen, das das Problem vor einem Fix offenbart.
Vertrauensressourcen
Ehrliche Einschränkungen
- Releases sind mit Prüfsummen versehen, aber noch nicht kryptographisch signiert — Signierung ist geplant, aber noch nicht umgesetzt.
- Deep Work Plan führt einen autonomen Coding-Agenten gegen Ihr Repository aus. Überprüfen Sie den vorgeschlagenen Plan und die Diffs; die Methodik ist für diese Überprüfung konzipiert, nicht um sie zu ersetzen.
- Vertrauensaussagen hier beschreiben nur die offiziellen Quellen. Eine modifizierte oder von Drittanbietern stammende Kopie, die von den Repositories abgewichen ist, trägt keine dieser Garantien — verifizieren Sie sie zuerst.
Übernehmen Sie es mit Zuversicht
Lesen Sie die Methodik und die Spezifikation, richten Sie einen Agenten auf den Init-Endpunkt und verifizieren Sie die Installation, bevor Sie sie ausführen.