跳转到主要内容

安全性

所有数据在传输和存储时均经过加密。生产环境中的软件也通过日志记录、错误处理以及实时指标监控看板进行常规监控。异常的应用程序状态(例如异常高的错误率、响应变慢、失败)会触发告警,并由我们的团队迅速排查。对我们在 AWS 上云环境的访问权限会根据业务角色按需授予,只有少数员工或合同工被授予对生产系统的直接访问权限。
所有员工和合同工都必须在所有关键工作应用中使用多因素身份验证。所有员工和合同工每年还会接受关于安全最佳实践的培训,包括良好的密码管理,以及如何识别社会工程攻击和网络钓鱼攻击。
Cognition 于 2024 年 3 月获得 SOC 2 Type II 认证,并为 Cognition 的所有员工开展了安全培训。作为 SOC 2 审计的一部分,Cognition 的审计方审查了 Cognition 的所有安全策略、流程,以及与数据安全、隐私、处理完整性、机密性和可用性相关的内部和第三方控制措施。有关我们安全性的更多详情,请访问我们的 Trust Center
如果您发现了潜在的安全问题,我们鼓励您与我们分享您的发现。请将您的漏洞报告发送给我们的安全团队:[email protected]

隐私与知识产权

Cognition 会根据客户用于与 Devin 交互的应用来处理数据。Devin 可通过 Web 应用、与 GitHub 的集成或与 Slack 的集成进行访问。对于 Web 应用,Cognition 只处理由获授权用户在向 Devin 发出提示时主动提供的数据;对于 GitHub 和 Slack 集成,安装集成的管理员可以审查并管理授予 Devin 的所有权限。Cognition 使用客户数据以:
  • 根据客户的配置和 Devin 的访问类型(例如 Web 应用、与 GitHub 的集成或与 Slack 的集成)交付、维护和更新向客户提供的服务,以确保软件保持最新且可正常运行。
  • 排查、预防和解决产品相关问题、软件缺陷或安全事件等问题,以维持服务功能和可靠性。
除非客户另有规定,Cognition 仅在与特定客户的合作关系存续期间保留通过 Devin 处理的数据。任何 Feedback Data 和 User Interaction Data 会在 Cognition 认为有必要的期限内予以保留。
默认情况下,我们不会将你的任何数据用于模型训练,除非你在 “Data Controls” 设置页面中明确选择加入。Devin 仍然可以通过 Knowledge 功能学习并适配你的独特工作流。当你共享 Knowledge 时,Devin 会随着时间推移在处理你特定项目时变得更加可靠。如果你是 Enterprise 客户,我们绝不会使用你的数据进行训练。详情请参阅你与 Cognition 签署协议中的条款。
由 Devin 生成的输出——无论是代码、工作成果或其他形式——均视为用户的知识产权,可用于客户的商业目的,但不得将该输出用于训练模型,以尝试对 Devin 进行逆向工程和/或构建与 Devin 竞争的产品。
在设置 GitHub 集成时,用户可以选择 Devin 可访问的代码仓库,并可在安装期间及安装后通过 GitHub 的 “App Settings” 调整相关权限。有关所请求权限和安全考量的更多详情,请参阅 GitHub 集成指南
在 Slack 中,除在标记 @Devin 时、首次向 Devin 发送提示时,以及在会话进行期间于对应 Slack 线程中提供的任何附加信息外,Devin 不会读取、处理或存储你的 Slack 实例中的任何其他数据。有关所请求权限和安全考量的更多详情,请参阅 Slack 集成指南

用户最佳实践

尽管 Devin 的性能在持续提升,它仍可能生成虚构内容、在代码中引入 bug,或提出不安全的代码或操作流程。与任何编码最佳实践类似,我们建议对 Devin 编写的代码采取适当的防护措施,例如进行代码评审、启用分支保护以确保在 Devin 合并任何变更前所有检查都已通过,以及继续采用你所在组织当前用于审查工程师工作的各类实践。
你可能需要向 Devin 提供凭证和密钥,例如密码、API 密钥、Cookie 或其他用于认证的信息。无论何种情况,我们都建议用户在设置页面中使用我们的 Secrets 功能,以安全地共享和存储这些凭证。
我们仍在不断学习和完善 Devin,使其成为出色的 AI 软件工程师,而客户反馈对 Devin 的发展至关重要。我们强烈鼓励你通过与 Cognition 客户团队直接沟通,或发送邮件至 [email protected] 分享反馈和功能请求,并通过发送邮件至 [email protected] 报告安全事件。