信頼とセキュリティ
信頼とセキュリティ
信頼できないスキルを誰もインストールすべきではありません。Deep Work Plan は信仰ではなく検証によって成り立つように設計されています。Open Source、Markdown-first、非破壊的で、実行する前に確認できます。このページでは、何をするか、何をしないか、そして両方をどう確かめるかを率直に述べます。
何を信頼するのか
Open Source かつ MIT ライセンス
ウェブサイトもスキルも公開されており、diff 可能です。実行前にすべての行を読み、タグ付きリリースのソースと任意のコピーを比較できます。
Markdown-first — ネットワークなし、テレメトリーなし
スキルには CLI も HTTP API も認証フローもありません。ネットワーク呼び出しを一切行わず、テレメトリーも送信しません。唯一のローカルヘルパーは git と環境メタデータを読み取るだけです。リポジトリに関する情報がお使いのマシンの外に出ることはありません。
設計上の非破壊性
スキルが行うセキュリティ上唯一関連する操作はリポジトリの変更ですが、それは上書きではなく調整です。既存のものを検出し、計画を提案し、何かを置き換える前に確認を求めます。計画の出力は gitignore された .dwp/ ディレクトリに保存されます。
秘密情報に触れない
この方法論は決して秘密情報をコミットせず、作業状態をバージョン管理の外に置きます。オンボーディングは .gitignore を書き換えるのではなく追記し、すべての変更は小さく読みやすい diff でレビューできることを意図しています。
検証可能な出所
各リリースには出荷されたスキルのチェックサムが公開されるため、信頼する前にダウンロードしたコピーが公開内容と一致することを確認できます。
実行前に検証する
確認が済むまでスキルを信頼できないものとして扱ってください。各リリースには出荷されたスキルを対象とした SHA256SUMS ファイルが添付されています。インストールしたいバージョンのものをダウンロードし、コピーが一致することを確認してください — ゼロ以外の終了コードはファイルが一致しないことを意味するため、その場合は中止してください。
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify # non-zero exit means a file does not match — stopリリースはチェックサム付きですが、署名はされていません — 署名(cosign またはメンテナー GPG)は文書化された次のステップであり、現在の主張ではありません。すべてが公開されているため、任意のファイルをそのタグのリポジトリと diff で比較することもできます。
脆弱性を報告する
セキュリティ上の問題を見つけましたか?公開 Issue を立てるのではなく、該当リポジトリ(スキルまたはウェブサイト。下記にリンクされたセキュリティポリシーを参照)で GitHub のプライベート脆弱性報告を通じてプライベートに報告してください。公開 Issue を立てると修正が存在する前に問題が露出します。
信頼リソース
正直な制限事項
- リリースはチェックサム付きですが、まだ暗号的に署名されていません — 署名は計画中であり、まだ完了していません。
- Deep Work Plan はリポジトリに対して自律的なコーディングエージェントを実行します。提案された計画と diff を確認してください。この方法論はそのレビューのために設計されており、レビューを省くためのものではありません。
- ここでの信頼の主張は公式ソースのみを対象としています。リポジトリから乖離した改変済みまたはサードパーティのコピーには、これらの保証は一切ありません — まず検証してください。
自信を持って採用する
方法論と仕様を読み、エージェントを init エンドポイントに向け、実行する前にインストールを検証してください。