Kepercayaan & keamanan

Kepercayaan dan keamanan

Tidak ada yang harus memasang skill yang tidak bisa dipercaya. Deep Work Plan dibangun untuk diverifikasi, bukan diterima begitu saja: sumber terbuka, Markdown-first, non-destruktif, dan dapat diperiksa sebelum Anda menjalankannya. Halaman ini menyatakan dengan jelas apa yang dilakukannya, apa yang tidak dilakukannya, dan cara mengonfirmasi keduanya.

Apa yang Anda percayai

Sumber terbuka dan berlisensi MIT

Situs web dan skill keduanya publik dan dapat dibandingkan. Anda dapat membaca setiap baris sebelum menjalankannya, dan membandingkan salinan mana pun terhadap sumber pada rilis bertag.

Markdown-first — tanpa jaringan, tanpa telemetri

Skill tidak memiliki CLI, tidak ada HTTP API, dan tidak ada alur autentikasi. Ia tidak melakukan panggilan jaringan dan tidak mengirim telemetri; satu-satunya helper lokalnya membaca metadata git dan lingkungan. Tidak ada yang berkaitan dengan repositori Anda yang meninggalkan mesin Anda.

Non-destruktif berdasarkan desain

Satu-satunya tindakan yang relevan dari segi keamanan yang dilakukan skill adalah mengubah repositori Anda — dan ia merekonsiliasi alih-alih menimpa. Ia mendeteksi apa yang ada, mengusulkan rencana, dan bertanya sebelum mengganti apa pun. Keluaran rencana berada di direktori .dwp/ yang di-gitignore.

Tidak menyentuh rahasia

Metodologi tidak pernah melakukan commit rahasia dan menjaga status pekerjaan di luar kontrol versi. Onboarding menambahkan ke .gitignore alih-alih menulisnya ulang, dan setiap perubahan dimaksudkan untuk ditinjau dalam diff kecil yang mudah dibaca.

Asal-usul yang dapat diverifikasi

Setiap rilis menerbitkan checksum atas skill yang dikirimkan, sehingga Anda dapat mengonfirmasi bahwa salinan yang diunduh cocok dengan yang diterbitkan sebelum Anda mempercayainya.

Verifikasi sebelum menjalankan

Perlakukan skill sebagai tidak tepercaya sampai Anda telah memeriksanya. Setiap rilis melampirkan file SHA256SUMS yang mencakup skill yang dikirimkan. Unduh untuk versi yang ingin Anda pasang, lalu verifikasi bahwa salinan Anda cocok — keluaran non-zero berarti sebuah file tidak cocok dan Anda harus berhenti.

shell

git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
  https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify        # non-zero exit means a file does not match — stop

Rilis ber-checksum, bukan ditandatangani — penandatanganan (cosign atau GPG pengelola) adalah langkah berikutnya yang terdokumentasi, bukan klaim saat ini. Karena semuanya terbuka, Anda juga dapat membandingkan file mana pun terhadap repositori pada tag-nya.

Laporkan kerentanan

Menemukan masalah keamanan? Laporkan secara pribadi melalui pelaporan kerentanan privat GitHub di repositori yang relevan — skill atau situs web (lihat tautan kebijakan keamanan di bawah) — daripada membuka issue publik yang akan mengekspos masalah sebelum ada perbaikan.

Laporkan kerentanan — Repositori skill Laporkan kerentanan — Repositori situs web

Sumber daya kepercayaan

Keterbatasan yang jujur

Rilis ber-checksum, belum ditandatangani secara kriptografis — penandatanganan direncanakan, belum dilakukan.
Deep Work Plan menjalankan coding agent otonom terhadap repositori Anda. Tinjau rencana yang diusulkannya dan diff-nya; metodologi dirancang untuk tinjauan itu, bukan untuk menggantikannya.
Klaim kepercayaan di sini hanya mendeskripsikan sumber resmi. Salinan yang dimodifikasi atau pihak ketiga yang telah menyimpang dari repositori tidak membawa satu pun dari jaminan ini — verifikasi dulu.

Adopsi dengan penuh keyakinan

Baca metodologi dan spesifikasinya, arahkan agent ke endpoint init, dan verifikasi instalasi sebelum Anda menjalankannya.

Baca metodologinya Adopsi (init)