Skip to content

Доверие & безопасность

Доверие и безопасность

Никто не должен устанавливать навык, которому нельзя доверять. Deep Work Plan создан для проверки, а не для слепой веры: открытый исходный код, Markdown-first, неразрушительный и проверяемый до запуска. На этой странице прямо говорится о том, что он делает, чего не делает, и как убедиться в обоих случаях.

Что именно вы доверяете

Открытый исходный код и лицензия MIT

Сайт и навык — оба публичны и допускают сравнение. Вы можете прочитать каждую строку до запуска и сравнить любую копию с исходным кодом в теговом релизе.

Markdown-first — без сети, без телеметрии

У навыка нет CLI, нет HTTP API и нет потока аутентификации. Он не делает сетевых запросов и не отправляет телеметрию; его единственный локальный помощник читает метаданные git и окружения. Ничто, связанное с вашим репозиторием, не покидает вашу машину.

Неразрушительный по замыслу

Единственное значимое с точки зрения безопасности действие навыка — изменение вашего репозитория, и он согласует изменения, а не затирает их. Он определяет существующее, предлагает план и спрашивает перед заменой чего-либо. Вывод плана находится в директории .dwp/, добавленной в .gitignore.

Не касается секретов

Методология никогда не фиксирует секреты и хранит рабочее состояние вне системы контроля версий. Онбординг дополняет .gitignore, а не перезаписывает его, и каждое изменение предназначено для ревью в небольших, читаемых диффах.

Проверяемое происхождение

Каждый релиз публикует контрольные суммы поставляемого навыка, чтобы вы могли убедиться, что загруженная копия совпадает с опубликованной, прежде чем доверять ей.

Проверьте до запуска

Относитесь к навыку как к ненадёжному, пока вы его не проверили. К каждому релизу прилагается файл SHA256SUMS, охватывающий поставляемый навык. Загрузите его для версии, которую планируете установить, затем убедитесь, что ваша копия совпадает — ненулевой код выхода означает несовпадение файла, и вам следует остановиться.

shell 
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
  https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify        # non-zero exit means a file does not match — stop

Релизы снабжены контрольными суммами, но не подписаны — подпись (cosign или GPG сопровождающего) является задокументированным следующим шагом, а не текущим утверждением. Поскольку всё открыто, вы также можете сравнить любой файл с репозиторием по его тегу.

Сообщить об уязвимости

Обнаружили проблему безопасности? Сообщите о ней приватно через приватную отчётность об уязвимостях GitHub в соответствующем репозитории — навыке или сайте (см. ссылки на политики безопасности ниже), — а не открывайте публичный issue, который раскроет проблему до появления исправления.

Сообщить об уязвимости — Репозиторий навыка Сообщить об уязвимости — Репозиторий сайта

Ресурсы доверия

Честные ограничения

  • Релизы снабжены контрольными суммами, но ещё не криптографически подписаны — подпись запланирована, но не реализована.
  • Deep Work Plan запускает автономного кодирующего агента на ваш репозиторий. Проверяйте предложенный им план и диффы; методология создана для такого ревью, а не для его замены.
  • Заявления о доверии здесь описывают только официальные источники. Изменённая или сторонняя копия, отклонившаяся от репозиториев, не несёт ни одной из этих гарантий — сначала проверьте её.

Внедряйте с уверенностью

Прочитайте методологию и спецификацию, направьте агента на конечную точку init и проверьте установку до запуска.

Читать методологию Внедрение (init)