Skip to content

Tin tưởng & bảo mật

Tin tưởng và bảo mật

Không ai nên cài một skill mà họ không thể tin tưởng. Deep Work Plan được xây dựng để xác minh, không phải để tin một cách mù quáng: mã nguồn mở, Markdown-first, không phá hủy và có thể kiểm tra trước khi chạy. Trang này nêu rõ những gì nó làm, những gì nó không làm, và cách xác nhận cả hai.

Bạn đang tin tưởng điều gì

Mã nguồn mở và cấp phép MIT

Trang web và skill đều công khai và có thể so sánh được. Bạn có thể đọc từng dòng trước khi chạy, và so sánh bất kỳ bản sao nào với mã nguồn tại một phiên bản được gắn thẻ.

Markdown-first — không mạng, không telemetry

Skill không có CLI, không có HTTP API và không có luồng xác thực. Nó không thực hiện lời gọi mạng và không gửi telemetry; trợ lý cục bộ duy nhất của nó đọc metadata git và môi trường. Không có gì liên quan đến repository của bạn rời khỏi máy của bạn.

Không phá hủy theo thiết kế

Hành động duy nhất liên quan đến bảo mật mà skill thực hiện là thay đổi repository của bạn — và nó hòa giải thay vì ghi đè. Nó phát hiện những gì tồn tại, đề xuất một kế hoạch và hỏi trước khi thay thế bất cứ thứ gì. Đầu ra của kế hoạch nằm trong thư mục .dwp/ được gitignore.

Không chạm vào bí mật

Phương pháp luận không bao giờ commit bí mật và giữ trạng thái làm việc ngoài kiểm soát phiên bản. Khởi tạo thêm vào .gitignore thay vì viết lại nó, và mọi thay đổi đều được thiết kế để xem xét trong các diff nhỏ, dễ đọc.

Nguồn gốc có thể xác minh

Mỗi bản phát hành công bố checksum cho skill được giao, để bạn có thể xác nhận một bản sao đã tải xuống khớp với những gì đã công bố trước khi tin tưởng nó.

Xác minh trước khi chạy

Hãy coi skill là không đáng tin cho đến khi bạn đã kiểm tra nó. Mỗi bản phát hành đính kèm một file SHA256SUMS bao gồm skill được giao. Tải xuống cho phiên bản bạn định cài đặt, rồi xác minh bản sao của bạn khớp — lối thoát khác không có nghĩa là một file không khớp và bạn nên dừng lại.

shell 
git clone https://github.com/DailybotHQ/deepworkplan-skill.git
cd deepworkplan-skill
# Download the checksums for the release you intend to install (replace vX.Y.Z):
curl -fsSL -o SHA256SUMS \
  https://github.com/DailybotHQ/deepworkplan-skill/releases/download/vX.Y.Z/SHA256SUMS
./setup.sh --verify        # non-zero exit means a file does not match — stop

Các bản phát hành có checksum, không có chữ ký — ký (cosign hoặc GPG của người duy trì) là bước tiếp theo được ghi lại, không phải tuyên bố hiện tại. Vì mọi thứ đều mở, bạn cũng có thể so sánh bất kỳ file nào với repository tại tag của nó.

Báo cáo lỗ hổng

Tìm thấy vấn đề bảo mật? Báo cáo riêng tư qua tính năng báo cáo lỗ hổng bảo mật riêng tư của GitHub trên repository liên quan — skill hoặc trang web (xem các liên kết chính sách bảo mật bên dưới) — thay vì mở một issue công khai, vì điều đó sẽ phơi bày vấn đề trước khi có bản vá.

Báo cáo lỗ hổng — Kho lưu trữ skill Báo cáo lỗ hổng — Kho lưu trữ trang web

Tài nguyên tin tưởng

Những hạn chế thành thật

  • Các bản phát hành có checksum, nhưng chưa được ký mật mã — ký được lên kế hoạch, chưa thực hiện.
  • Deep Work Plan chạy một coding agent tự chủ đối với repository của bạn. Xem xét kế hoạch được đề xuất và các diff của nó; phương pháp luận được thiết kế cho việc xem xét đó, không phải để thay thế nó.
  • Các tuyên bố tin tưởng ở đây chỉ mô tả các nguồn chính thức. Một bản sao đã bị sửa đổi hoặc của bên thứ ba đã trôi dạt khỏi các repository không mang theo bất kỳ đảm bảo nào trong số này — hãy xác minh trước.

Áp dụng với sự tự tin

Đọc phương pháp luận và đặc tả, trỏ một agent vào endpoint init và xác minh quá trình cài đặt trước khi bạn chạy nó.

Đọc phương pháp luận Áp dụng (init)