Skip to content

Confiança e segurança

Confiança e segurança

Ninguém deveria instalar uma skill em que não pode confiar. O Deep Work Plan foi desenvolvido para ser verificado, não aceito por fé: código aberto, Markdown-first, não destrutivo e verificável antes de ser executado. Esta página explica claramente o que ele faz, o que ele não faz e como confirmar ambos.

No que você está confiando

Código aberto e licença MIT

O site e a skill são públicos e passíveis de revisão. Você pode ler cada linha antes de executar e comparar qualquer cópia com o código-fonte em uma versão etiquetada.

Markdown-first — sem rede, sem telemetria

A skill não tem CLI, API HTTP nem fluxo de autenticação. Ela não faz chamadas de rede e não envia telemetria; seu único helper local lê metadados do git e do ambiente. Nada do seu repositório sai da sua máquina.

Não destrutivo por design

A única ação relevante para a segurança que a skill executa é alterar o seu repositório — e ela reconcilia em vez de sobrescrever. Detecta o que existe, propõe um plano e pergunta antes de substituir qualquer coisa. O resultado dos planos fica em uma pasta .dwp/ ignorada pelo git.

Não acessa segredos

A metodologia nunca comita segredos e mantém o estado de trabalho fora do controle de versão. O onboarding acrescenta ao .gitignore em vez de reescrevê-lo, e cada alteração é pensada para ser revisada em diffs pequenos e legíveis.

Procedência verificável

Cada versão publica checksums sobre a skill distribuída, para que você possa confirmar que uma cópia baixada corresponde ao que foi publicado antes de confiar nela.

Verifique antes de executar

Trate a skill como não confiável até tê-la verificado. Cada versão anexa um arquivo SHA256SUMS cobrindo a skill distribuída. Baixe-o para a versão que pretende instalar e verifique se a sua cópia corresponde — uma saída diferente de zero significa que um arquivo não corresponde e você deve parar.

shell 
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
  https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify        # non-zero exit means a file does not match — stop

As versões têm checksums, não assinaturas criptográficas — a assinatura (cosign ou GPG do mantenedor) é o próximo passo documentado, não uma garantia atual. Como tudo é aberto, você também pode comparar qualquer arquivo com o repositório na sua tag.

Reportar uma vulnerabilidade

Encontrou um problema de segurança? Reporte-o de forma privada pelo sistema de reporte privado de vulnerabilidades do GitHub no repositório relevante — a skill ou o site (veja as políticas de segurança vinculadas abaixo) — em vez de abrir uma issue pública, o que exporia o problema antes de existir uma correção.

Reportar uma vulnerabilidade — Repositório da skill Reportar uma vulnerabilidade — Repositório do site

Recursos de confiança

Limitações honestas

  • As versões têm checksums, mas ainda não estão criptograficamente assinadas — a assinatura está planejada, não implementada.
  • O Deep Work Plan executa um agente de coding autônomo no seu repositório. Revise o plano proposto e seus diffs; a metodologia foi projetada para essa revisão, não para substituí-la.
  • As afirmações de confiança aqui descrevem apenas as fontes oficiais. Uma cópia modificada ou de terceiros que tenha se afastado dos repositórios não tem nenhuma dessas garantias — verifique-a primeiro.

Adote com confiança

Leia a metodologia e a especificação, aponte um agente para o endpoint de init e verifique a instalação antes de executá-la.

Leia a metodologia Adoção (init)