Skip to content

Довіра та безпека

Довіра та безпека

Ніхто не повинен встановлювати скіл, якому не може довіряти. Deep Work Plan побудований для перевірки, а не для сліпої довіри: відкритий код, Markdown-first, неруйнівний і перевірний до запуску. Ця сторінка прямо пояснює, що він робить, чого не робить і як підтвердити і те, і інше.

Чому ви довіряєте

Відкритий код та ліцензія MIT

Вебсайт і скіл є публічними та доступними для diff. Ви можете прочитати кожен рядок перед запуском і порівняти будь-яку копію з джерелом на позначеному релізі.

Markdown-first — без мережі, без телеметрії

Скіл не має CLI, HTTP API та потоку автентифікації. Він не здійснює жодних мережевих викликів і не надсилає телеметрію; його єдиний локальний помічник зчитує метадані git та середовища. Жодна інформація про ваш репозиторій не залишає вашу машину.

Неруйнівний за проєктом

Єдина дія скілу, що стосується безпеки, — це зміна вашого репозиторію, і він узгоджує, а не перезаписує. Він виявляє, що існує, пропонує план і запитує перед заміною будь-чого. Результати плану зберігаються в каталозі .dwp/ у gitignore.

Не торкається секретів

Методологія ніколи не фіксує секрети та тримає робочий стан поза системою контролю версій. Онбординг дописує до .gitignore, а не перезаписує його, і кожна зміна призначена для перегляду в невеликих, читабельних diff.

Перевірювана провенієнція

Кожен реліз публікує контрольні суми для скілу, що постачається, тож ви можете підтвердити, що завантажена копія відповідає опублікованій, перш ніж їй довіряти.

Перевірте перед запуском

Ставтеся до скілу як до ненадійного, доки не перевірили його. Кожен реліз додає файл SHA256SUMS, що охоплює скіл. Завантажте його для версії, яку плануєте встановити, а потім перевірте відповідність своєї копії — ненульовий вихідний код означає, що файл не збігається, і слід зупинитися.

shell 
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
  https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify        # non-zero exit means a file does not match — stop

Релізи перевіряються контрольними сумами, а не підписуються — підписання (cosign або maintainer GPG) є задокументованим наступним кроком, а не поточною вимогою. Оскільки все відкрито, ви також можете порівняти будь-який файл із репозиторієм на його тезі.

Повідомте про вразливість

Знайшли проблему з безпекою? Повідомте про неї приватно через приватне звітування про вразливості GitHub у відповідному репозиторії — скіл або вебсайт (дивіться посилання на політики безпеки нижче) — замість того щоб відкривати публічне питання, яке б розкрило проблему до появи виправлення.

Повідомте про вразливість — Репозиторій навички Повідомте про вразливість — Репозиторій сайту

Ресурси довіри

Чесні обмеження

  • Релізи перевіряються контрольними сумами, але ще не підписані криптографічно — підписання заплановано, але не виконано.
  • Deep Work Plan запускає автономного агента програмування у вашому репозиторії. Перевіряйте запропонований план і diff; методологія призначена для такого перегляду, а не для його заміни.
  • Твердження про довіру тут описують лише офіційні джерела. Змінена або стороння копія, що відхилилася від репозиторіїв, не несе жодної з цих гарантій — спочатку перевірте її.

Впроваджуйте з упевненістю

Прочитайте методологію та специфікацію, спрямуйте агента на init endpoint і перевірте встановлення перед запуском.

Читати методологію Впровадження (init)