Skip to content

Güven & güvenlik

Güven ve güvenlik

Kimse güvenemediği bir skill'i kurmamalıdır. Deep Work Plan, kör bir inanca değil doğrulamaya dayalı olarak tasarlanmıştır: açık kaynak, Markdown-first, yıkıcı olmayan ve çalıştırmadan önce kontrol edilebilir. Bu sayfa, ne yaptığını, ne yapmadığını ve her ikisini nasıl doğrulayacağınızı açıkça ortaya koyar.

Neye güveniyorsunuz

Açık kaynak ve MIT lisanslı

Web sitesi ve skill'in ikisi de herkese açık ve karşılaştırılabilirdir. Çalıştırmadan önce her satırı okuyabilir ve herhangi bir kopyayı etiketli bir sürümdeki kaynakla karşılaştırabilirsiniz.

Markdown-first — ağ yok, telemetri yok

Skill'in CLI'si, HTTP API'si veya kimlik doğrulama akışı yoktur. Ağ çağrısı yapmaz ve telemetri göndermez; tek yerel yardımcısı git ve ortam meta verilerini okur. Deponuzla ilgili hiçbir şey makinenizden çıkmaz.

Tasarım gereği yıkıcı olmayan

Skill'in güvenlikle ilgili tek eylemi deponuzu değiştirmektir ve bunu üzerine yazmak yerine uzlaştırarak yapar. Mevcut olanı tespit eder, bir plan önerir ve herhangi bir şeyin yerini almadan önce sorar. Plan çıktıları, gitignore'lanmış bir .dwp/ dizininde tutulur.

Sırları dokunmaz

Metodoloji hiçbir zaman sır kaydetmez ve çalışma durumunu sürüm denetiminin dışında tutar. Onboarding, .gitignore'u yeniden yazmak yerine ona ekler ve her değişiklik küçük, okunabilir farklar halinde gözden geçirilmek üzere tasarlanmıştır.

Doğrulanabilir kaynak

Her sürüm, gönderilen skill üzerinde sağlama toplamları yayımlar; böylece güvenmeden önce indirilen bir kopyanın yayımlananla eşleştiğini doğrulayabilirsiniz.

Çalıştırmadan önce doğrulayın

Skill'i kontrol edene kadar güvenilmez olarak değerlendirin. Her sürüm, gönderilen skill'i kapsayan bir SHA256SUMS dosyası ekler. Kurmayı planladığınız sürüm için indirin, ardından kopyanızın eşleştiğini doğrulayın — sıfırdan farklı bir çıkış, bir dosyanın eşleşmediği anlamına gelir ve durmanız gerekir.

shell 
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
  https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify        # non-zero exit means a file does not match — stop

Sürümler sağlama toplamlarına sahiptir, imzalı değildir — imzalama (cosign veya yetkili kişi GPG'si) belgelenmiş bir sonraki adımdır, mevcut bir iddia değildir. Her şey açık olduğundan, herhangi bir dosyayı etiketindeki depoya göre de karşılaştırabilirsiniz.

Güvenlik açığı bildirin

Bir güvenlik sorunu mu buldunuz? İlgili depoda — skill'de veya web sitesinde (aşağıda bağlantısı verilen güvenlik politikalarına bakın) — GitHub'ın özel güvenlik açığı bildirme özelliği aracılığıyla özel olarak bildirin; kamuya açık bir issue açmak yerine, zira bu durum düzeltme gelmeden önce sorunu ifşa eder.

Güvenlik açığı bildirin — Beceri deposu Güvenlik açığı bildirin — Web sitesi deposu

Güven kaynakları

Dürüst sınırlamalar

  • Sürümler sağlama toplamlarına sahiptir, henüz kriptografik olarak imzalanmamıştır — imzalama planlandı, tamamlanmadı.
  • Deep Work Plan, deponuza karşı otonom bir kodlama ajanı çalıştırır. Önerilen planı ve farklarını gözden geçirin; metodoloji bu inceleme için tasarlanmıştır, onun yerini almak için değil.
  • Buradaki güven iddiaları yalnızca resmi kaynakları tanımlar. Depolardan sapan değiştirilmiş veya üçüncü taraf bir kopya, bu garantilerin hiçbirini taşımaz — önce doğrulayın.

Güvenle benimseyin

Metodolojiyi ve spesifikasyonu okuyun, bir ajanı init uç noktasına yönlendirin ve çalıştırmadan önce kurulumu doğrulayın.

Metodolojiyi okuyun Benimseme (init)