跳转到主要内容

安全性

所有数据在传输和存储时均经过加密。生产环境的软件还会通过日志记录、错误处理以及实时指标监控看板进行持续监控。异常的应用状态(例如异常高的错误率、响应变慢、故障)会触发告警,由我们的团队迅速排查。对我们在 AWS 中的云环境的访问权限会根据业务角色按需授予,只有少数员工或合同工被授予对生产系统的直接访问权限。
所有员工和合同工都必须在所有主要工作应用中使用多因素认证。所有员工和合同工每年还会接受安全最佳实践培训,包括良好的密码管理,以及如何识别社会工程攻击和网络钓鱼攻击。
Cognition 于 2024 年 3 月获得 SOC 2 Type II 认证,并为 Cognition 的所有员工开展了安全培训。作为 SOC 2 审计的一部分,Cognition 的审计人员审查了 Cognition 关于数据安全、隐私、处理过程完整性、机密性和可用性的所有安全政策、流程,以及内部和第三方控制措施。如需了解更多有关我们安全性的详细信息,请访问我们的信任中心
如果您发现了潜在的安全问题,我们鼓励您与我们分享您的发现。请将您的漏洞报告发送至我们的安全团队:[email protected]

隐私和知识产权

Cognition 会根据客户用于与 Devin 交互的应用来处理数据。可以通过 Web 应用、与 GitHub 的集成或与 Slack 的集成来访问 Devin。对于 Web 应用,Cognition 只处理授权用户在向 Devin 发出请求时主动提供的数据;对于 GitHub 和 Slack 集成,安装集成的管理员可以审查并管理授予 Devin 的所有权限。Cognition 使用客户数据来:
  • 根据客户的配置和 Devin 的访问类型(例如 Web 应用、与 GitHub 的集成或与 Slack 的集成)交付、维护和更新向客户提供的服务,以确保软件保持最新且可正常运行。
  • 排查、预防和解决产品相关问题、软件缺陷或安全事件等,以维护服务的可用性和可靠性。
除非客户另有说明,否则 Cognition 只在与特定客户保持合作关系的期间内保留通过 Devin 处理的数据。任何 Feedback Data 和 User Interaction Data 都会在 Cognition 认为有必要的时间内予以保留。
默认情况下,除非你在 Data Controls 设置页面中明确选择同意,否则我们不会将你的任何数据用于模型训练。Devin 仍然可以通过 Knowledge 功能学习并适应你的独特工作流程。当你分享 Knowledge 时,Devin 会在处理你的特定项目时随时间变得更加可靠。如果你是 Enterprise 客户,我们绝不会使用你的数据进行训练。详情请参考你与 Cognition 签署协议中的条款。
Devin 生成的输出——无论是代码、工作成果或其他内容——均被视为用户的知识产权,可以用于客户的商业用途,但不得使用这些输出来训练试图对 Devin 进行逆向工程和/或打造与 Devin 竞争产品的模型。
在设置 GitHub 集成时,用户可以选择 Devin 可以访问哪些代码库,并且可以在安装过程中和安装之后,通过 GitHub 的 App Settings 调整权限。有关所请求权限和安全注意事项的更多详情,请参阅 GitHub Integration Guide
在 Slack 中,除在标记 @Devin 时、最初进行提示时,以及会话进行期间在 Slack 线程中提供的任何附加信息之外,Devin 不会读取、处理或存储你的 Slack 实例中的任何其他数据。有关所请求权限和安全注意事项的更多详情,请参阅 Integration with Slack Guide

用户最佳实践

虽然 Devin 的性能在持续提升,但它仍有可能出现幻觉式错误、向代码引入缺陷,或给出不安全的代码或操作建议。与其他编码最佳实践相同,我们建议对 Devin 编写的代码采取适当的防护措施,例如进行代码审查、启用分支保护以确保在 Devin 合并任何变更前相关检查已执行,以及继续沿用贵组织当前用于审查工程师工作的各类流程和规范。
在某些情况下,你可能需要向 Devin 提供用于身份验证的凭据和密钥,例如密码、API key、cookie 等。无论何种情况,我们都建议用户通过“设置”页面下的 Secrets 功能来共享并安全存储这些凭据。
我们仍在持续学习和改进 Devin,使其成为出色的 AI 软件工程师,而客户反馈对 Devin 的发展至关重要。我们强烈建议你将反馈和功能需求直接分享给你的 Cognition 客户团队,或发送邮件至 [email protected];如需报告安全事件,请发送邮件至 [email protected]