Skip to content

ความน่าเชื่อถือและความปลอดภัย

ความน่าเชื่อถือและความปลอดภัย

ไม่ควรมีใครติดตั้งสกิลที่ตัวเองเชื่อถือไม่ได้ Deep Work Plan ถูกสร้างให้ตรวจสอบได้ ไม่ใช่ให้เชื่อโดยสุจริต: โอเพนซอร์ส ใช้ Markdown เป็นหลัก ไม่ทำลายข้อมูล และตรวจสอบได้ก่อนรัน หน้านี้อธิบายตรง ๆ ว่ามันทำอะไร ไม่ทำอะไร และยืนยันทั้งสองอย่างได้อย่างไร

สิ่งที่คุณกำลังวางใจ

โอเพนซอร์สและอนุญาตสิทธิ์ MIT

ทั้งเว็บไซต์และสกิลเป็นสาธารณะและสามารถ diff ได้ คุณสามารถอ่านทุกบรรทัดก่อนรัน และเปรียบเทียบสำเนาใดก็ได้กับซอร์สที่ tagged release

Markdown เป็นหลัก — ไม่มีเครือข่าย ไม่มีการเก็บข้อมูลการใช้งาน

สกิลไม่มี CLI ไม่มี HTTP API และไม่มีขั้นตอนการยืนยันตัวตน มันไม่เรียกเครือข่ายและไม่ส่งข้อมูลการใช้งาน ตัวช่วยในเครื่องเพียงตัวเดียวอ่านข้อมูล git และ metadata ของสภาพแวดล้อม ไม่มีข้อมูลใด ๆ เกี่ยวกับ repository ของคุณออกจากเครื่องของคุณ

ไม่ทำลายข้อมูลตามการออกแบบ

สิ่งเดียวที่สกิลทำซึ่งเกี่ยวข้องกับความปลอดภัยคือการเปลี่ยน repository ของคุณ และมันประสานแทนที่จะเขียนทับ มันตรวจสอบว่ามีอะไรอยู่แล้ว เสนอแผน และถามก่อนแทนที่สิ่งใด ผลลัพธ์ของแผนอยู่ในไดเรกทอรี .dwp/ ที่ถูก gitignore ไว้

ไม่แตะความลับ

ระเบียบวิธีไม่เคยคอมมิตความลับและเก็บสถานะการทำงานไว้นอกการควบคุมเวอร์ชัน การเริ่มต้นต่อท้าย .gitignore แทนที่จะเขียนใหม่ และทุกการเปลี่ยนแปลงมีไว้เพื่อตรวจทานใน diff เล็ก ๆ ที่อ่านได้

สามารถตรวจสอบแหล่งที่มาได้

ทุก release เผยแพร่ checksum สำหรับสกิลที่ส่งมา คุณจึงยืนยันได้ว่าสำเนาที่ดาวน์โหลดตรงกับที่เผยแพร่ก่อนที่จะวางใจมัน

ตรวจสอบก่อนรัน

ปฏิบัติต่อสกิลว่าไม่น่าเชื่อถือจนกว่าคุณจะตรวจสอบแล้ว ทุก release แนบไฟล์ SHA256SUMS ที่ครอบคลุมสกิลที่ส่งมา ดาวน์โหลดสำหรับเวอร์ชันที่คุณต้องการติดตั้ง แล้วตรวจสอบว่าสำเนาของคุณตรงกัน ค่า exit ที่ไม่ใช่ศูนย์หมายความว่าไฟล์ไม่ตรงกันและคุณควรหยุด

shell 
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
  https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify        # non-zero exit means a file does not match — stop

Release ถูกตรวจสอบด้วย checksum ไม่ใช่ลายเซ็น การลงนาม (cosign หรือ maintainer GPG) เป็นขั้นตอนถัดไปที่ได้รับการจัดทำเป็นเอกสาร ไม่ใช่สิ่งที่อ้างในปัจจุบัน เนื่องจากทุกอย่างเปิดเผย คุณยังสามารถ diff ไฟล์ใดก็ได้กับ repository ที่ tag ของมัน

รายงานช่องโหว่

พบปัญหาด้านความปลอดภัย? รายงานเป็นการส่วนตัวผ่านระบบรายงานช่องโหว่แบบส่วนตัวของ GitHub ใน repository ที่เกี่ยวข้อง — สกิลหรือเว็บไซต์ (ดูนโยบายความปลอดภัยที่ลิงก์ด้านล่าง) — แทนที่จะเปิด issue สาธารณะซึ่งจะเปิดเผยปัญหาก่อนที่จะมีการแก้ไข

รายงานช่องโหว่ — ที่เก็บโค้ดสกิล รายงานช่องโหว่ — ที่เก็บโค้ดเว็บไซต์

ทรัพยากรความน่าเชื่อถือ

ข้อจำกัดที่ซื่อสัตย์

  • Release ถูกตรวจสอบด้วย checksum แต่ยังไม่ได้ลงนามทางเข้ารหัส การลงนามมีแผนแต่ยังไม่ได้ดำเนินการ
  • Deep Work Plan รัน coding agent อิสระกับ repository ของคุณ ตรวจทานแผนที่เสนอและ diff ของมัน ระเบียบวิธีถูกออกแบบมาสำหรับการตรวจทานนั้น ไม่ใช่เพื่อแทนที่
  • การอ้างสิทธิ์ความน่าเชื่อถือที่นี่อธิบายเฉพาะแหล่งทางการเท่านั้น สำเนาที่ถูกดัดแปลงหรือสำเนาจากบุคคลที่สามซึ่งแตกต่างจาก repository ไม่มีการรับประกันเหล่านี้ ตรวจสอบก่อน

นำไปใช้ด้วยความมั่นใจ

อ่านระเบียบวิธีและข้อกำหนด ชี้ agent ไปที่ init endpoint และตรวจสอบการติดตั้งก่อนรัน

อ่านระเบียบวิธี การนำไปใช้ (init)