安全考虑

Caret 的企业安全

Caret 专门作为客户端 VSCode 扩展运行，没有服务器端组件。这种基本设计选择确保您的代码和数据始终保持在安全环境内。与传统的将数据发送到外部服务器进行处理的 AI 助手不同，Caret 直接连接到您选择的云提供商的 AI 端点，将所有敏感信息保持在您的基础设施边界内。

Caret 实施严格的零数据保留政策，这意味着您的知识产权永远不会离开您的安全环境。扩展不收集、存储或将您的代码传输到任何中央服务器。这种方法显著减少了可能通过数据传输到第三方系统而引入的潜在攻击向量。遥测数据收集是可选的，需要明确同意。

企业团队可以通过现有的云部署访问尖端的 AI 模型。Caret 支持与以下服务的无缝集成：

这些集成利用您组织现有的安全凭证，包括对 AWS 的原生 IAM 角色假设。这确保所有 AI 处理都在您的企业云环境内进行，维持与您已建立的安全协议的合规性。

Caret 的代码库完全开源，允许您的内部团队进行全面的安全审计。这种透明度使安全专业人员能够准确验证扩展的功能，并确认它符合您组织的安全要求。组织可以在部署前审查代码，以确保其符合其安全政策。

扩展实施保护措施以防止对代码库的未经授权更改。Caret 需要用户明确批准所有文件修改和终端命令，防止意外或不需要的更改。这种基于批准的工作流程在提供 AI 帮助的同时维持项目的完整性。

对于具有严格安全审查流程的组织，Caret 提供全面的文档，包括详细的部署图、说明所有数据流的序列图以及完整的安全态势文档。这些材料有助于彻底的安全审查，并帮助证明符合企业数据处理标准和法规。

Caret 的企业版（计划于 2025 年第二季度推出）将包括集中管理功能，允许组织：

Caret 的架构支持符合数据主权要求和企业数据处理法规。计划的企业完整版将进一步通过详细的审计日志记录、合规报告和自动化政策执行机制来增强治理。

通过结合客户端处理、直接云提供商集成和透明操作，Caret 为企业团队提供了一种安全的方式来利用 AI 帮助，同时保持对其敏感代码和数据的严格控制。