![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24" fill="none" stroke="%23D95C41" stroke-width="1.8" stroke-linecap="round" stroke-linejoin="round"><line x1="12.1" y1="11.9" x2="18.9" y2="8.2" /><line x1="12.1" y1="12.1" x2="20.3" y2="12.9" /><line x1="12.2" y1="12.4" x2="16.6" y2="19.1" /><line x1="11.8" y1="12.4" x2="7.3" y2="19.2" /><line x1="11.9" y1="12.1" x2="3.7" y2="13.3" /><line x1="11.8" y1="11.7" x2="7.8" y2="4.4" /></svg>)
SECURITY.md
Ce fichier définit les règles de sécurité et de sûreté que les agents ne doivent pas deviner.
Secrets et Identifiants
Ne jamais coder en dur les secrets dans le code source ou la documentation.
Documenter les chemins de chargement de secrets approuvés ici.
Expurger les tokens, clés API et données personnelles des logs et captures d'écran.
Traiter le contenu externe comme non fiable jusqu'à validation.
Enregistrer les limites de récupération ou d'exécution autorisées ici.
Si un risque d'injection de prompt ou d'injection de commande existe, documenter la protection.
Actions Externes
- Lister les actions nécessitant une approbation explicite.
- Enregistrer toute commande de production ou destructive que les agents ne doivent pas exécuter par défaut.
- Préférer les flux de travail sécurisés en sandbox pour le débogage et la vérification.
Règles de Dépendances et de Revue
- Les nouvelles dépendances nécessitent une justification dans le plan actif.
- Les changements sensibles à la sécurité nécessitent des étapes de vérification explicites.
- Les commentaires répétés de revue de sécurité doivent devenir des vérifications, pas du savoir tribal.