Ваш код и данные остаются на вашей машине.
KB Labs работает on-prem по умолчанию, open source от начала до конца, и никогда не отправляет данные без вашего явного действия. Всё проверяемо в исходниках.
Что покидает вашу сеть.
Полная карта передвижения данных — без «примерно» и «иногда».
| Тип данных | Куда | Условие | Статус |
|---|---|---|---|
| Исходный код | Только ваш компьютер | Никогда не передаётся | На вашей машине |
| Состояние воркфлоу | Только ваш компьютер | Никогда не передаётся | На вашей машине |
| LLM-запросы | Ваш провайдер | Только когда вы запускаете AI-функции | С вашего согласия |
| Git-диффы (demo) | Gateway-прокси | Только в demo-режиме, opt-in | С вашего согласия |
| Crash-репорты | Не собираются | Никакого error tracking | На вашей машине |
| Аналитика использования | Не собирается | Никакой телеметрии по умолчанию | На вашей машине |
| API-ключи | Только локальный конфиг (0600) | Никогда не логируются и не передаются | На вашей машине |
Безопасность по умолчанию, не опционально.
On-prem по умолчанию
KB Labs работает полностью на вашей инфраструктуре. Нет облачных зависимостей, данные не покидают вашу сеть. Вы контролируете где хранятся код, состояние workflow и логи.
Данные только с вашего ведома
Ничего не уходит наружу без вашего разрешения. CLI спрашивает перед каждым сетевым запросом. Демо-режим предлагает три варианта: прокси через Gateway, только локально, или свой API-ключ.
Open source и аудируемость
Вся платформа — open source. Каждая строка кода доступна для аудита. Никаких чёрных ящиков, скрытой телеметрии или «поверьте нам». Проверяйте сами.
Четыре слоя sandbox-изоляции.
Плагин не может получить доступ к ресурсам, которые не объявил в манифесте — это контракт, а не рекомендация.
Декларация в манифесте
Плагины заранее объявляют нужные возможности. Рантайм запрещает незадекларированный доступ.
Изоляция в процессе
Режим по умолчанию. Плагин работает в том же процессе с enforcement прав через middleware.
Изоляция в подпроцессе
Плагин запускается в дочернем процессе. Только IPC-коммуникация, без общей памяти.
Контейнерная изоляция
Плагин работает в OCI-контейнере. Полная изоляция файловой системы и сети.
Токены живут на вашей машине.
Gateway не использует централизованный сервис аутентификации — ключи генерируются и хранятся локально.
| Область токена | Device-scoped JWT |
| Хранение токена | Локальный файл, права 0600 |
| Передача токена | Никогда не передаётся другим пользователям |
| Метод аутентификации | JWT Bearer tokens |
| Ротация ключей | CLI-команда: kb gateway rotate |
| Отзыв | Немедленный, без зависимости от TTL |
Честно про сертификации.
Ранняя стадия — не врём про статус.
Лицензия MIT. Полный исходный код доступен на GitHub для аудита и контрибуций.
Соглашение об обработке данных доступно по запросу для организаций, которым это необходимо.
Ролевое управление доступом и SSO (SAML/OIDC) запланированы для Enterprise-тарифа.
Нашли уязвимость?
Если вы нашли уязвимость — напишите нам до публичного раскрытия. Мы отвечаем в течение 48 часов и публично благодарим исследователей после выпуска фикса.
Поговорим о безопасности.
Если у вас особые требования к безопасности или вы хотите провести аудит — свяжитесь напрямую.