Skip to content

Fiducia e sicurezza

Fiducia e sicurezza

Nessuno dovrebbe installare una skill di cui non può fidarsi. Deep Work Plan è progettato per essere verificato, non accettato per fede: open source, Markdown-first, non distruttivo e controllabile prima di eseguirlo. Questa pagina illustra chiaramente cosa fa, cosa non fa e come confermare entrambe le cose.

Cosa stai approvando

Open source e licenza MIT

Il sito web e la skill sono entrambi pubblici e ispezionabili riga per riga. Puoi leggere ogni riga prima di eseguirla e confrontare qualsiasi copia con il sorgente a una release taggata.

Markdown-first — nessuna rete, nessuna telemetria

La skill non ha CLI, API HTTP né flusso di autenticazione. Non effettua chiamate di rete e non invia telemetria; il suo unico helper locale legge i metadati di git e dell'ambiente. Nulla del tuo repository lascia la tua macchina.

Non distruttivo per design

L'unica azione rilevante per la sicurezza che la skill compie è modificare il tuo repository — e riconcilia anziché sovrascrivere. Rileva ciò che esiste, propone un piano e chiede conferma prima di sostituire qualsiasi cosa. L'output dei piani risiede in una cartella .dwp/ esclusa da git.

Non tocca i segreti

La metodologia non esegue mai il commit di segreti e mantiene lo stato di lavoro fuori dal controllo di versione. L'onboarding aggiunge al .gitignore anziché riscriverlo, e ogni modifica è pensata per essere revisionata in diff piccoli e leggibili.

Provenienza verificabile

Ogni release pubblica i checksum sulla skill distribuita, così puoi confermare che una copia scaricata corrisponde a quanto pubblicato prima di fidarti di essa.

Verifica prima di eseguire

Tratta la skill come non attendibile finché non l'hai verificata. Ogni release allega un file SHA256SUMS che copre la skill distribuita. Scaricalo per la versione che intendi installare e verifica che la tua copia corrisponda — un'uscita diversa da zero significa che un file non corrisponde e devi fermarti.

shell 
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
  https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify        # non-zero exit means a file does not match — stop

Le release sono checksummate, non firmate — la firma (cosign o GPG del maintainer) è il passo successivo documentato, non una garanzia attuale. Poiché tutto è aperto, puoi anche confrontare qualsiasi file con il repository alla sua tag.

Segnalare una vulnerabilità

Hai trovato un problema di sicurezza? Segnalalo privatamente tramite il sistema di segnalazione privata delle vulnerabilità di GitHub nel repository pertinente — la skill o il sito web (vedi le politiche di sicurezza collegate qui sotto) — invece di aprire una issue pubblica, il che esporrebbe il problema prima che esista una correzione.

Segnalare una vulnerabilità — Repository della skill Segnalare una vulnerabilità — Repository del sito

Risorse sulla fiducia

Limitazioni oneste

  • Le release sono checksummate, ma non ancora firmate crittograficamente — la firma è pianificata, non ancora implementata.
  • Deep Work Plan esegue un agente di coding autonomo sul tuo repository. Rivedi il piano proposto e i suoi diff; la metodologia è progettata per quella revisione, non per sostituirla.
  • Le affermazioni di fiducia qui descrivono solo le fonti ufficiali. Una copia modificata o di terze parti che si è allontanata dai repository non gode di nessuna di queste garanzie — verificala prima.

Adottala con fiducia

Leggi la metodologia e la specifica, punta un agente sull'endpoint init e verifica l'installazione prima di eseguirla.

Leggi la metodologia Adozione (init)