跳转到主要内容

安全与信任

安全

安全传输与加密

所有数据在传输和静态存储阶段均经过加密。生产系统通过日志记录、错误处理以及跟踪实时指标的实时监控看板进行持续监控。对于异常的应用状态(例如错误率升高、性能变慢、故障等),会触发告警,并由我们的团队及时排查。 对 Cognition 的 AWS 云环境的访问基于知情需用原则授予,并与业务角色相匹配。只有少数员工或合同工可以直接访问生产系统。

通用安全实践

所有员工和合同工必须在所有主要工作应用中使用多因素身份验证(MFA)。此外,他们还需参加年度安全培训,内容涵盖密码管理最佳实践、社会工程攻击识别与防范,以及钓鱼攻击防范。

第三方审计与认证

Cognition 于 2024 年 9 月获得 SOC 2 Type II 认证。在本次审计中,第三方审计机构评估了与以下方面相关的所有安全策略、程序,以及内部和外部控制:
  • 数据安全
  • 隐私
  • 处理完整性
  • 机密性
  • 可用性
如需了解更多详情,请访问我们的 Trust Center

漏洞披露计划

如果您发现任何潜在的安全问题,请通过发送邮件至 [email protected] 向我们的安全团队报告。Cognition 会按照客户协议中约定的通报义务,通知 Enterprise 企业版客户任何可能影响其环境的安全事件。

隐私和知识产权

Cognition 如何处理 Devin 访问的数据?

数据处理方式取决于客户与 Devin 的交互方式:
  • Web Application:Cognition 只会处理由授权用户主动提供的数据。
  • GitHub & Slack Integrations:安装集成的管理员可以审查并管理授予 Devin 的所有权限。
对于使用 VPC 部署的企业客户(Enterprise),所有客户数据都会存储在该客户的租户内。

Cognition 的数据保留政策是什么?

除非另有说明,Cognition 仅在客户关系存续期间保留通过 Devin 处理的数据。
  • 反馈与用户交互数据 可能会根据需要保留,具体由 Cognition 决定。

客户数据是如何用于改进 Devin 的?

默认情况下,Cognition 不会 使用客户数据或代码来训练其模型。 对于使用 VPC 部署 的企业版(Enterprise)客户,所有客户数据都会保留在该客户的租户内。更多详情请查阅您与 Cognition 签订的协议。

Devin 输出的知识产权(IP)归属是什么?

由 Devin 生成的结果——无论是代码、工作成果还是其他内容——均属于客户的知识产权,并且可以用于商业用途。 但是,客户不得使用 Devin 的输出来训练旨在对产品进行逆向工程或开发竞争产品的模型。

与 GitHub 集成

在配置 GitHub 集成时,用户可以选择允许 Devin 访问哪些代码仓库。可以随时在 GitHub 的应用设置(App Settings)中调整权限。 有关权限和安全注意事项的详细信息,请访问 GitHub 集成指南

与 Slack 集成

Devin 只会处理你明确提供的数据,并且仅在以下情况下:
  • 被提及(@Devin
  • 收到直接的指令
  • 在活跃的 Slack 线程中共享了额外信息时
有关安全和权限的详细信息,请参阅Slack 集成指南

用户使用最佳实践

Devin 的局限性

虽然 Devin 在不断改进,但仍可能:
  • 生成幻觉(不准确或具有误导性的回答)
  • 向代码中引入缺陷
  • 建议不安全的编码实践
为降低风险,我们强烈建议:
  • 在部署前进行代码审查
  • 使用分支保护来强制执行验证检查
  • 遵循贵组织的标准工程审查流程

处理机密信息

如果 Devin 需要使用凭证(例如 API key、密码、cookie),请通过 Cognition 的 Secrets 功能(位于 Settings 页面)安全地共享和存储敏感信息。

分享反馈

我们会基于客户反馈不断改进 Devin。
  • 如需提交功能需求和建议,请联系您的 Cognition 客户团队,或发送邮件至 [email protected]
  • 如需报告安全事件,请发送邮件至 [email protected]
您的意见对于进一步打磨 Devin 这位 AI 软件工程师至关重要。