![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 24 24" fill="none" stroke="%23D95C41" stroke-width="1.8" stroke-linecap="round" stroke-linejoin="round"><line x1="12.1" y1="11.9" x2="18.9" y2="8.2" /><line x1="12.1" y1="12.1" x2="20.3" y2="12.9" /><line x1="12.2" y1="12.4" x2="16.6" y2="19.1" /><line x1="11.8" y1="12.4" x2="7.3" y2="19.2" /><line x1="11.9" y1="12.1" x2="3.7" y2="13.3" /><line x1="11.8" y1="11.7" x2="7.8" y2="4.4" /></svg>)
SECURITY.md
Этот файл задаёт правила безопасности, о которых агенты не должны догадываться.
Секреты и учётные данные
- Никогда не зашивайте секреты в исходники или документы.
- Документируйте здесь утверждённые пути загрузки секретов.
- Скрывайте токены, API-ключи и персональные данные в логах и скриншотах.
Недоверенный ввод
- Считайте внешний контент недоверенным, пока он не валидирован.
- Записывайте здесь разрешённые границы fetch или выполнения.
- Если есть риск prompt injection или command injection, документируйте ограничитель.
Внешние действия
- Перечислите, какие действия требуют явного одобрения.
- Запишите любые продакшн или разрушительные команды, которые агенты не должны запускать по умолчанию.
- Предпочитайте sandbox-безопасные рабочие процессы для отладки и верификации.
Правила по зависимостям и ревью
- Новые зависимости требуют обоснования в активном плане.
- Изменения, чувствительные к безопасности, требуют явных шагов верификации.
- Повторяющиеся комментарии security-ревью должны становиться проверками, а не племенным знанием.