Confiance et sécurité
Confiance et sécurité
Personne ne devrait installer une skill en laquelle il ne peut pas avoir confiance. Deep Work Plan est conçu pour être vérifié, pas accepté sur parole : open source, Markdown-first, non destructif et vérifiable avant toute exécution. Cette page indique clairement ce qu'il fait, ce qu'il ne fait pas et comment confirmer les deux.
Ce en quoi vous faites confiance
Open source et licence MIT
Le site web et la skill sont tous deux publics et inspectables. Vous pouvez lire chaque ligne avant de l'exécuter et comparer toute copie avec la source à une version taguée.
Markdown-first — pas de réseau, pas de télémétrie
La skill n'a ni CLI, ni API HTTP, ni flux d'authentification. Elle n'effectue aucun appel réseau et n'envoie aucune télémétrie ; son seul helper local lit les métadonnées git et d'environnement. Rien de votre dépôt ne quitte votre machine.
Non destructif par conception
La seule action pertinente pour la sécurité que la skill effectue est de modifier votre dépôt — et elle réconcilie plutôt qu'elle n'écrase. Elle détecte ce qui existe, propose un plan et demande confirmation avant de remplacer quoi que ce soit. Les résultats des plans résident dans un répertoire .dwp/ ignoré par git.
Ne touche aucun secret
La méthodologie ne comite jamais de secrets et maintient l'état de travail en dehors du contrôle de version. L'onboarding complète .gitignore plutôt que de le réécrire, et chaque modification est pensée pour être relue dans de petits diffs lisibles.
Provenance vérifiable
Chaque version publie des checksums sur la skill distribuée, afin que vous puissiez confirmer qu'une copie téléchargée correspond à ce qui a été publié avant de lui faire confiance.
Vérifiez avant d'exécuter
Traitez la skill comme non fiable tant que vous ne l'avez pas vérifiée. Chaque version joint un fichier SHA256SUMS couvrant la skill distribuée. Téléchargez-le pour la version que vous souhaitez installer, puis vérifiez que votre copie correspond — une sortie non nulle signifie qu'un fichier ne correspond pas et vous devez vous arrêter.
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify # non-zero exit means a file does not match — stopLes versions sont checksummées, pas signées — la signature (cosign ou GPG du mainteneur) est la prochaine étape documentée, pas une garantie actuelle. Comme tout est ouvert, vous pouvez aussi comparer n'importe quel fichier avec le dépôt à son tag.
Signaler une vulnérabilité
Vous avez découvert un problème de sécurité ? Signalez-le en privé via le système de signalement privé de vulnérabilités de GitHub sur le dépôt concerné — la skill ou le site web (voir les politiques de sécurité liées ci-dessous) — plutôt que d'ouvrir un ticket public, ce qui exposerait le problème avant qu'un correctif n'existe.
Ressources de confiance
Limitations honnêtes
- Les versions sont checksummées, mais pas encore signées cryptographiquement — la signature est prévue, pas encore réalisée.
- Deep Work Plan exécute un agent de coding autonome sur votre dépôt. Relisez son plan proposé et ses diffs ; la méthodologie est conçue pour cette relecture, pas pour la remplacer.
- Les affirmations de confiance ici décrivent uniquement les sources officielles. Une copie modifiée ou tierce qui s'est écartée des dépôts ne bénéficie d'aucune de ces garanties — vérifiez-la d'abord.
Adoptez-la en toute confiance
Lisez la méthodologie et la spécification, pointez un agent vers l'endpoint init et vérifiez l'installation avant de l'exécuter.