신뢰 & 보안
신뢰와 보안
신뢰할 수 없는 스킬을 설치해서는 안 됩니다. Deep Work Plan은 맹목적인 믿음이 아니라 검증에 기반하도록 설계되었습니다. 오픈 소스, Markdown-first, 비파괴적이며, 실행하기 전에 확인할 수 있습니다. 이 페이지는 무엇을 하는지, 무엇을 하지 않는지, 그리고 두 가지를 어떻게 확인할 수 있는지를 솔직하게 설명합니다.
무엇을 신뢰하는가
오픈 소스이자 MIT 라이선스
웹사이트와 스킬은 모두 공개되어 있으며 diff 가능합니다. 실행하기 전에 모든 줄을 읽고, 태그 릴리스의 소스와 임의의 복사본을 비교할 수 있습니다.
Markdown-first — 네트워크 없음, 텔레메트리 없음
스킬에는 CLI도, HTTP API도, 인증 흐름도 없습니다. 네트워크 호출을 하지 않으며 텔레메트리를 전송하지 않습니다. 유일한 로컬 헬퍼는 git과 환경 메타데이터만 읽습니다. 리포지토리에 관한 어떤 정보도 사용자의 기기를 벗어나지 않습니다.
비파괴적 설계
스킬이 하는 유일한 보안 관련 작업은 리포지토리를 변경하는 것이며, 덮어쓰기가 아니라 조정합니다. 기존에 있는 것을 감지하고 계획을 제안한 뒤, 무언가를 교체하기 전에 확인을 요청합니다. 계획 출력은 gitignore된 .dwp/ 디렉터리에 저장됩니다.
비밀 정보를 건드리지 않음
방법론은 비밀 정보를 커밋하지 않으며 작업 상태를 버전 관리 외부에 유지합니다. 온보딩은 .gitignore를 덮어쓰는 대신 추가하며, 모든 변경은 작고 읽기 쉬운 diff로 검토할 수 있도록 설계됩니다.
검증 가능한 출처
모든 릴리스는 배포된 스킬에 대한 체크섬을 게시하므로, 신뢰하기 전에 다운로드한 복사본이 게시된 내용과 일치하는지 확인할 수 있습니다.
실행 전에 검증
확인하기 전까지 스킬을 신뢰할 수 없는 것으로 취급하세요. 각 릴리스에는 배포된 스킬을 아우르는 SHA256SUMS 파일이 첨부됩니다. 설치하려는 버전의 파일을 다운로드한 뒤, 복사본이 일치하는지 검증하세요 — 비정상 종료 코드는 파일이 일치하지 않음을 의미하므로 중단해야 합니다.
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify # non-zero exit means a file does not match — stop릴리스는 체크섬으로 검증되며, 서명되지는 않았습니다 — 서명(cosign 또는 관리자 GPG)은 문서화된 다음 단계이지 현재의 주장이 아닙니다. 모든 것이 공개되어 있으므로, 임의의 파일을 해당 태그의 리포지토리와 diff로 비교할 수도 있습니다.
취약점 신고
보안 문제를 발견하셨나요? 공개 이슈를 열지 말고, 해당 리포지토리(스킬 또는 웹사이트 — 아래에 링크된 보안 정책 참조)에서 GitHub의 비공개 취약점 신고 기능을 통해 비공개로 신고해 주세요. 공개 이슈를 열면 수정이 완료되기 전에 문제가 노출됩니다.
신뢰 리소스
솔직한 한계
- 릴리스는 체크섬으로 검증되지만 아직 암호학적으로 서명되지 않았습니다 — 서명은 계획 중이며 아직 완료되지 않았습니다.
- Deep Work Plan은 자율적인 코딩 에이전트를 리포지토리에 대해 실행합니다. 제안된 계획과 diff를 검토하세요. 방법론은 그 검토를 위해 설계된 것이지, 검토를 대체하려는 것이 아닙니다.
- 여기의 신뢰 주장은 공식 소스만을 설명합니다. 리포지토리에서 벗어난 수정되거나 서드파티의 복사본에는 이러한 보증이 없습니다 — 먼저 검증하세요.
자신 있게 채택하세요
방법론과 스펙을 읽고, 에이전트를 init 엔드포인트로 향하게 한 뒤, 실행하기 전에 설치를 검증하세요.