企業安全與隱私白皮書
Boring 關於資料處理、LLM 互動與安全防護機制的技術概覽。
🔐 資料架構
Boring 遵循 「本地優先,LLM 輔助」 的架構。
🏠 本地儲存(無雲端同步)
- 代碼索引:所有 RAG 向量嵌入皆儲存在您本地專案目錄中。
- 學習經驗:系統學到的解決方案儲存在本地 JSON 檔案。
- 日誌:執行日誌與追蹤資訊絕不會離開您的機器,除非手動匯出。
🌐 外部通訊 (LLM API)
僅有下列資料會傳送至 LLM (Google Gemini 或 Anthropic Claude): 1. 提示詞 (Prompt):任務指令。 2. 代碼片段:透過 RAG 檢索出的相關程式代碼(經過濾)。 3. 中繼資料:上下文所需的檔案名稱與目錄結構。
[!IMPORTANT] Boring 不會 將您的整個儲存庫上傳至雲端。它僅傳送目前任務嚴格需要的程式碼片段。
🛡️ 執行安全
影子模式 (Shadow Mode)
高風險操作(刪除檔案、執行系統命令、網路請求)會被 影子攔截器 攔截。 - 規則導向:您可以將特定路徑或工具加入白名單。 - 人工介入:危險操作會暫停並等待您在 UI 中明確批准。
品質閘道 (Quality Gates)
在任何代碼被視為「完成」之前,Boring 會執行多層本地驗證: - 靜態分析 (Linter) - 安全掃描 (秘密偵測、SAST) - 動態測試 (單元測試)
⚖️ 隱私合規
- 不進行訓練:我們不會使用您的專案程式碼來訓練基礎模型。
- 合規性:Boring 尊重
.gitignore與.dockerignore,避免索引敏感或暫存檔案。 - 透明度:每一次外部請求與工具執行皆有日誌紀錄,便於審核。
🛡️ 推薦的安全配置
對於企業級環境,我們推薦以下在 .boring.toml 中的設定: