भरोसा और सुरक्षा
भरोसा और सुरक्षा
किसी को भी वह स्किल इंस्टॉल नहीं करनी चाहिए जिस पर वे भरोसा न कर सकें। Deep Work Plan को सत्यापित किया जा सकता है, आस्था के आधार पर नहीं लिया जाता: ओपन सोर्स, Markdown-first, गैर-विनाशकारी, और चलाने से पहले जाँचने योग्य। यह पृष्ठ सरल भाषा में बताता है कि यह क्या करता है, क्या नहीं करता, और दोनों की पुष्टि कैसे करें।
आप किस पर भरोसा कर रहे हैं
ओपन सोर्स और MIT लाइसेंस प्राप्त
वेबसाइट और स्किल दोनों सार्वजनिक और diff करने योग्य हैं। आप इसे चलाने से पहले हर पंक्ति पढ़ सकते हैं, और किसी भी प्रति को tagged release पर मौजूद सोर्स से तुलना कर सकते हैं।
Markdown-first — कोई नेटवर्क नहीं, कोई टेलीमेट्री नहीं
स्किल में कोई CLI नहीं, कोई HTTP API नहीं, और कोई प्रमाणीकरण प्रवाह नहीं है। यह कोई नेटवर्क कॉल नहीं करती और कोई टेलीमेट्री नहीं भेजती; इसका एकमात्र स्थानीय सहायक git और वातावरण मेटाडेटा पढ़ता है। आपकी रिपॉज़िटरी के बारे में कुछ भी आपकी मशीन नहीं छोड़ता।
डिज़ाइन से गैर-विनाशकारी
स्किल जो एकमात्र सुरक्षा-प्रासंगिक काम करती है वह है आपकी रिपॉज़िटरी को बदलना — और यह clobber करने के बजाय सुलझाती है। यह मौजूदा चीज़ें पहचानती है, एक योजना प्रस्तावित करती है, और कुछ भी बदलने से पहले पूछती है। योजना का आउटपुट एक gitignored .dwp/ डायरेक्टरी में रहता है।
किसी रहस्य को नहीं छूती
पद्धति कभी रहस्य कमिट नहीं करती और संस्करण नियंत्रण से बाहर काम की स्थिति रखती है। ऑनबोर्डिंग .gitignore को पुनः लिखने के बजाय उसमें जोड़ती है, और हर बदलाव छोटे, पठनीय diffs में समीक्षा के लिए होता है।
सत्यापन योग्य उत्पत्ति
हर रिलीज़ भेजी गई स्किल पर चेकसम प्रकाशित करती है, ताकि आप यह पुष्टि कर सकें कि डाउनलोड की गई प्रति उससे मेल खाती है जो प्रकाशित हुई थी, इससे पहले कि आप उस पर भरोसा करें।
चलाने से पहले सत्यापित करें
स्किल को तब तक अविश्वसनीय मानें जब तक आपने इसे जाँच न लिया हो। प्रत्येक रिलीज़ भेजी गई स्किल पर एक SHA256SUMS फ़ाइल संलग्न करती है। उस संस्करण के लिए इसे डाउनलोड करें जिसे आप इंस्टॉल करना चाहते हैं, फिर सत्यापित करें कि आपकी प्रति मेल खाती है — एक गैर-शून्य एग्ज़िट का अर्थ है कि कोई फ़ाइल मेल नहीं खाती और आपको रुकना चाहिए।
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify # non-zero exit means a file does not match — stopरिलीज़ चेकसम की गई हैं, हस्ताक्षरित नहीं — हस्ताक्षर (cosign या maintainer GPG) एक दस्तावेज़ीकृत अगला चरण है, वर्तमान दावा नहीं। क्योंकि सब कुछ खुला है, आप किसी भी फ़ाइल को उसके tag पर रिपॉज़िटरी से diff भी कर सकते हैं।
भेद्यता की रिपोर्ट करें
कोई सुरक्षा समस्या मिली? सार्वजनिक issue खोलने के बजाय इसे GitHub के निजी भेद्यता रिपोर्टिंग के माध्यम से संबंधित रिपॉज़िटरी — स्किल या वेबसाइट (नीचे लिंक की गई सुरक्षा नीतियाँ देखें) — पर निजी तौर पर रिपोर्ट करें, ताकि कोई समाधान मौजूद होने से पहले समस्या उजागर न हो।
भरोसा संसाधन
ईमानदार सीमाएँ
- रिलीज़ चेकसम की गई हैं, अभी तक क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित नहीं — हस्ताक्षर योजनाबद्ध है, हुआ नहीं।
- Deep Work Plan आपकी रिपॉज़िटरी के विरुद्ध एक स्वायत्त कोडिंग एजेंट चलाता है। इसकी प्रस्तावित योजना और diffs की समीक्षा करें; पद्धति उस समीक्षा के लिए डिज़ाइन की गई है, उसे प्रतिस्थापित करने के लिए नहीं।
- यहाँ भरोसा के दावे केवल आधिकारिक स्रोतों का वर्णन करते हैं। एक संशोधित या तृतीय-पक्ष प्रति जो रिपॉज़िटरी से भटक गई है उसमें इनमें से कोई भी गारंटी नहीं है — पहले उसे सत्यापित करें।
आत्मविश्वास के साथ अपनाएँ
पद्धति और विनिर्देश पढ़ें, एजेंट को init endpoint की ओर इंगित करें, और चलाने से पहले इंस्टॉल सत्यापित करें।