安全与信任
安全与信任
DiffLore 处理团队的拉取请求审核评论 - 代码片段、架构讨论和审核者推理,这些通常比源代码本身更敏感。本页准确描述了我们收集的内容、它们的去向、我们不会用它做什么以及如何删除它。
有效的 2026-04-28 · 最后更新 2026-04-28
我们绝不会使用您的数据来训练人工智能模型。
我们绝不会向第三方出售或分享您的数据
当你使用 BYOK 时,我们绝不会代理 LLM 调用。
PR 评审评论、PR 元数据、提取的规则候选、规则向量以及运维日志。我们不会克隆或在被评审片段之外保留仓库内容。
Anthropic/OpenAI/Voyage for inference and embeddings, Neon for storage, Stripe for billing, and Cloudflare for request metadata.
可在“设置”中导出、在“设置”中删除评审数据、通过卸载 GitHub 应用停止采集,或为模型调用使用 BYOK。
原始 PR 评论默认保留时长:Free/Pro 为 12 个月,Team 为 24 个月(可调整),Enterprise 按合同条款。
我们储存什么
当您通过 DiffLore Cloud GitHub App 连接 GitHub 存储库时,我们会收到并保留:
- PR 审阅意见 (
pr_review_comments.body)包括审稿人引用的代码片段 - PR 元数据:标题、作者、基本/头部 SHA、触及的文件路径、合并状态 — 但不是完整的存储库快照
- 提取的候选规则:我们的管道的结构化规则源自评论(
candidate_rules) - 嵌入向量 这些规则(
memory_nodes) — 仅向量,而不是原始代码 - 操作日志:webhook 传送记录、请求时间戳、速率限制计数器
我们不会在收到的 PR 审阅评论和这些评论引用的文件路径的范围之外克隆、扫描或保留您的存储库内容。
我们从来不做的事
- 我们绝不会使用您的数据来训练人工智能模型。 不是我们自己的,也不是我们分处理者的。这是通过 API 条款与 Anthropic、OpenAI 和 Voyage 签订的合同,并在我们自己的服务条款中得到强化。
- 我们绝不会向第三方出售或分享您的数据 除了下面指定的子处理者之外。
- 当你使用 BYOK 时,我们绝不会代理 LLM 调用。 当您提供 Anthropic 或 OpenAI API 密钥时,我们的工作人员会使用您的密钥直接向该提供商进行身份验证。我们唯一看到的就是传输过程中的提示和响应;除了结构化提取输出之外,我们的基础设施上不会保留任何内容。
子处理者
| 子处理器 | 目的 | 数据暴露 |
|---|---|---|
| Anthropic | LLM 推理(当 BYOK 使用 Anthropic 时,或在平台包含的配额下) | 提取+批评的提示和响应 |
| OpenAI | LLM 推理(当 BYOK 使用 OpenAI 时) | 提取+批评的提示和响应 |
| Voyage AI | 托管 /api/embeddings 端点的嵌入生成 | 仅规则文本(不是原始 PR 注释) |
| Neon (US-East) | Postgres 主机 | 所有持久数据,静态加密 |
| Stripe | 计费 | 客户电子邮件、计划、使用记录(无代码数据) |
| Cloudflare | 边缘和 DNS | 仅请求元数据 |
我们会通过存档的电子邮件提前通知客户任何子处理者的变更。要独立订阅子处理者变更通知,请发送电子邮件 hello@difflore.dev.
数据流
对于平台包含的配额 (Pro/Team) 下的 PR 摄取事件:
GitHub PR 评论 → DiffLore Cloud webhook(传输中加密,TLS 1.3)→ pr_review_comments 表(静态加密,Neon 管理)→ 审核提取器工作人员读取评论 → Anthropic API(HTTPS,每个零数据保留条款 Anthropic 不保留)→ 提取响应写入候选人规则 →嵌入发送到 Voyage (HTTPS,无保留)→ 向量写入 memory_nodes
对于 BYOK 客户,LLM 调用使用客户的密钥来对抗他们自己的提供商帐户;提示+响应仍然通过我们的工作人员,但不会持续到提取输出之外。
保留默认值
| 套餐 | 原始 PR 评论的默认保留 |
|---|---|
| Free | 12个月滚动 |
| Pro | 12个月滚动 |
| Team | 24 个月,可在“设置”中配置 |
| Enterprise | 每个合同(直至短暂/提取并丢弃) |
保留适用于 原始评论机构。提取的规则和候选规则将无限期保留,因为它们构成了团队累积的审阅内存,但您可以随时删除它们(见下文)。
您的控制
- 出口:
发送邮件至 hello@difflore.dev我们将提供与您帐户关联的 PR 评论、候选规则和嵌入的副本(支持您的 GDPR 第 20 条数据可携带权)。应用内自助导出正在规划中。 - 删除:
设置 → 帐户 → 删除我的所有 PR 数据立即删除行pr_reviews,pr_review_comments,candidate_rules, 和memory_nodes为您的帐户。不可逆转。 - 禁用摄取:从存储库卸载 DiffLore GitHub App 会立即停止新的摄取。除非明确删除,否则历史数据将按照上述时间表保留。
- BYOK 选择加入:切换到 BYOK 会停止平台资助的推理。提示仍然通过我们的工作人员传递,但推理账单现在记在您的帐户上,而不是我们的帐户上。
加密
- 在途中:TLS 1.3 适用于所有面向客户的端点;内部工作进程 → 数据库连接使用 TLS(Neon 托管)。
- 休息时:对所有持久数据进行 Neon 透明加密 (AES-256)。适用于敏感字段的应用程序级加密,例如
userSync.settings.llmApiKey(BYOK 键)使用 AES-256-GCM 和每条记录 IV。
单独的强化轨道将应用程序级加密扩展到 pr_review_comments.body 对于 Team 和 Enterprise 计划。在此发布之前,原始评论正文仅受 Neon 的透明静态加密保护。
事件响应
如果发生影响客户数据的安全事件,我们承诺:
- 通知受影响的客户 72小时 的确认。
- 在内部发布公开的事后分析 30天 的分辨率。
- 通过以下方式与安全研究人员协调披露 hello@difflore.dev.
合规路线图
| 物品 | 状态 |
|---|---|
| ToS、隐私政策、此安全页面 | 已发布 |
| 分包处理者披露和变更通知 | 已发布 |
| 客户发起的数据删除(自助);导出通过邮件 | 已发布 |
| 原始 PR 评论的应用程序级加密 | 进行中(2026 年第三季度) |
| SOC 2 Type I | 计划(2026 年第四季度 — 由 Enterprise 需求控制) |
| SOC 2 Type II | 计划(2027 年第二季度) |
| 自托管/私有部署 | 可在 Enterprise 合约上使用 |
我们不会宣传我们尚未持有的合规认证。如果上述状态从计划变为已发布,则此页面将更新并通知现有合同。
报告问题
安全研究人员、合规联系人和有疑问的客户应发送电子邮件 hello@difflore.dev 。我们会在 48 小时内回复。
对于 GDPR / CCPA / 类似制度下的数据主体访问请求,自助服务 设置 → 帐户 → 删除我的所有 PR 数据 控制通常是最快的路径。如果您需要非自助路径,请给我们发送电子邮件。