Bauen Sie ein Werkzeug. Machen Sie es zu einem Teil von Strix.
Strix ist eine Suite, kein geschlossener Garten. Wenn Sie ein quelloffenes Datenschutz- oder Sicherheitswerkzeug gebaut haben, das nach denselben Regeln lebt — standardmäßig offline, ohne jede Telemetrie, wirklich prüfbar —, können Sie es vorschlagen. Sobald es dieselbe Sicherheitsprüfung und Härtung durchläuft wie jedes Strix-Werkzeug, erscheint es unter dem Dach von Strix: mit einem eigenen Repository, einer Seite auf dieser Website in 13 Sprachen und mit Veröffentlichungen, die Prüfsummen und eine Attestierung tragen.
Zuletzt aktualisiert
So funktioniert es
Vier Schritte von Ihrem Repository zu einem veröffentlichten Strix-Werkzeug — und Sie behalten die ganze Zeit über die Urheberschaft und das Copyright.
- 01
Bauen Sie Ihr Werkzeug
Schreiben Sie es in einer beliebigen Sprache, für Windows und/oder Linux, unter einer MIT-kompatiblen Lizenz. Erfüllen Sie die folgenden Kriterien: offline, keine Telemetrie, eine Aufgabe, die gut erledigt wird.
- 02
Reichen Sie es ein
Öffnen Sie auf GitHub ein Einreichungs-Issue mit einem Link zu Ihrem Repository, einer Beschreibung, was es tut, den Zielplattformen und der Frage, wie es — falls überhaupt — auf das Netzwerk zugreift. Sie benötigen kein Konto bei uns; nur GitHub.
- 03
Sicherheitsprüfung und Härtung
Wir durchlaufen dieselbe Prüfung, die jedes Strix-Werkzeug bestanden hat: statische Analyse, eine Prüfung der Abhängigkeiten und der Lieferkette, eine gegnerische Code-Prüfung und einen Härtungsdurchlauf. Sie erhalten die Ergebnisse, und wir arbeiten sie gemeinsam ab.
- 04
Es erscheint als Strix
Nach der Annahme erhält Ihr Werkzeug ein eigenes Repository innerhalb der Strix-Organisation, eine lokalisierte Landingpage auf dieser Website sowie Veröffentlichungen mit SHA-256-Prüfsummen und einer Build-Provenance-Attestierung.
Was ein Strix-Werkzeug sein muss
Diese Punkte sind nicht verhandelbar — sie sind die Versprechen, auf denen die gesamte Suite aufbaut. Wenn Ihr Werkzeug bereits nach ihnen lebt, wird es sich sofort zu Hause fühlen.
Quelloffen
Öffentlicher Quellcode unter der MIT-Lizenz (oder einer MIT-kompatiblen, freizügigen Lizenz). Nichts Verborgenes, nichts Verschleiertes.
Standardmäßig offline
Bei einem Desktop-Werkzeug keine eigenen Netzwerkaufrufe. Ist das Netzwerk die eigentliche Aufgabe des Werkzeugs (recon/OSINT), muss es schlüssellos sein, durch eine Einwilligung abgesichert und klar im Umfang begrenzt.
Keine Telemetrie
Keine Analyse-SDKs, kein Nach-Hause-Funken, keine Konten. Die Daten der Nutzer verlassen niemals deren Rechner.
Eine Aufgabe, gut erledigt
Ein fokussiertes Werkzeug mit sinnvollen Voreinstellungen, einem klaren Umfang und einer ausdrücklichen Angabe dessen, was es bewusst nicht tut.
Dokumentiert und testbar
Ein README, eine SECURITY.md mit einem Bedrohungsmodell und Regressionstests für alles Sicherheitskritische.
Minimale Rechte
Keine Shell-Aufrufe, keine dynamische Codeausführung, Subprozess-Aufrufe ausschließlich per argv, Auflösung von Werkzeugen über absolute Pfade und erhöhte Rechte nur dort, wo sie wirklich erforderlich sind.
Die Sicherheitsprüfung, die jede Einreichung durchläuft
Dieselbe Prüfung, die auch die bestehenden Werkzeuge vor ihrer Veröffentlichung bestanden haben. Nichts wird ausgeliefert, bevor es sie besteht.
- Statische Analyse (SAST)semgrep, bandit, PSScriptAnalyzer, Roslyn-Analyzer und der jeweiligen Sprache angemessene Linter über die gesamte Codebasis.
- Prüfung der Abhängigkeiten und der LieferketteFestgeschriebene Versionen, ein SBOM, pip-audit / Dependabot sowie eine Prüfung, dass jede Drittanbieter-Abhängigkeit gerechtfertigt ist.
- Gegnerische Code-PrüfungEin manueller Durchgang auf der Jagd nach Injection, Path Traversal, SSRF, Rechteausweitung und jeder Schwächung einer Sicherheitskontrolle.
- HärtungWir schließen die Lücken gemeinsam: minimale Rechte, keine Shell, Eingabevalidierung, im Zweifel sperrende Voreinstellungen und mehrschichtige Verteidigung auf den gefährlichen Pfaden.
- Provenance bei jeder VeröffentlichungDie CI erstellt jede Veröffentlichung, schreibt eine SHA256SUMS-Datei mit SHA-256-Prüfsummen und hängt eine SLSA-Build-Provenance-Attestierung an, sodass jeder Download überprüfbar ist.
Was Sie behalten — und was Sie bekommen
Ein Beitrag zu Strix bedeutet nicht, dass Sie Ihre Arbeit abtreten.
Ihre Urheberschaft und Ihr Copyright
Sie bleiben der Autor. Das MIT-Copyright gehört Ihnen; Strix verteilt es und pflegt es gemeinsam mit Ihnen.
Ein echtes Publikum
Eine lokalisierte Landingpage in 13 Sprachen, eine SEO-/GEO-Anbindung und ein Platz im Werkzeugraster und in den Downloads.
Eine vertrauenswürdige Release-Pipeline
Prüfsummen, Attestierung, ein künftiger Weg zur Code-Signierung (SignPath Foundation) und ein Prozess zur Offenlegung von Sicherheitslücken — für Sie eingerichtet.
Gemeinsame Pflege
Issues, Pull Requests und Sicherheitsmeldungen durchlaufen denselben Prozess wie der Rest der Suite. Sie sind nicht auf sich allein gestellt.
Bereit zum Einreichen?
Öffnen Sie ein Einreichungs-Issue mit dem Link zu Ihrem Repository und einer kurzen Beschreibung. Wir nehmen es auf, führen die Prüfung durch und arbeiten von da an mit Ihnen zusammen. Noch nicht bereit? Lesen Sie zuerst den vollständigen Leitfaden für Beiträge.
Für die Einreichung genügt ein GitHub-Konto. Es fällt keine Gebühr an, es gibt keine Beitragsvereinbarung, die Ihnen Ihre Rechte nimmt, und keine Verpflichtung — Sie können sich jederzeit vor der Veröffentlichung zurückziehen.
FAQ
Verliere ich das Eigentum an meinem Werkzeug?
Nein. Sie behalten die Urheberschaft und das MIT-Copyright. Strix pflegt und verteilt es gemeinsam mit Ihnen, und Sie können sich vor der Veröffentlichung zurückziehen.
Welche Sprachen oder Frameworks sind erlaubt?
Beliebige. Die bestehende Suite umfasst Python, C#, PowerShell und mehr — entscheidend sind die Lizenz, die Regeln zu Offline-Betrieb und Telemetriefreiheit sowie das Bestehen der Sicherheitsprüfung, nicht der Technologie-Stack.
Was, wenn mein Werkzeug das Netzwerk benötigt?
Das ist nur dann in Ordnung, wenn das Netzwerk seine eigentliche Aufgabe ist (wie bei den recon/OSINT-Werkzeugen). Es muss dann schlüssellos sein, durch eine ausdrückliche Einwilligung abgesichert, klar im Umfang begrenzt und ausschließlich für autorisierte Nutzung bestimmt — niemals stiller oder Hintergrund-Datenverkehr.
Wie lange dauert die Prüfung?
Das hängt von der Größe des Werkzeugs ab und davon, wie viele Ergebnisse zutage treten. Kleine, bereits gehärtete Werkzeuge kommen schnell voran; alles, was zerstörerische Operationen oder erhöhte Rechte berührt, wird besonders gründlich geprüft.
Was passiert, wenn es nicht besteht?
Sie erhalten die vollständigen Ergebnisse und können sie beheben und erneut einreichen. Eine Prüfung, die Probleme findet, zeigt, dass der Prozess funktioniert — genau das ist auch bei den Werkzeugen passiert, die bereits Teil der Suite sind.