Crea una herramienta. Hazla parte de Strix.
Strix es una suite, no un jardín amurallado. Si has creado una herramienta de privacidad o seguridad de código abierto que se rige por las mismas reglas — sin conexión de forma predeterminada, cero telemetría, genuinamente auditable —, puedes proponerla. Una vez que supere la misma revisión de seguridad y el mismo trabajo de refuerzo que atraviesa cada herramienta de Strix, se publica bajo el paraguas de Strix: con su propio repositorio, una página en este sitio en 13 idiomas y versiones con sumas de comprobación y atestación.
Última actualización
Cómo funciona
Cuatro pasos desde tu repositorio hasta una herramienta de Strix publicada — y conservas la autoría y los derechos de autor de principio a fin.
- 01
Crea tu herramienta
Escríbela en cualquier lenguaje, para Windows o Linux (o ambos), bajo una licencia compatible con MIT. Cumple los criterios de más abajo: sin conexión, sin telemetría, una sola tarea bien hecha.
- 02
Envía una propuesta
Abre una incidencia de propuesta en GitHub con un enlace a tu repositorio, qué hace, las plataformas a las que se dirige y cómo toca la red — si es que lo hace. No necesitas ninguna cuenta con nosotros; solo GitHub.
- 03
Revisión de seguridad y refuerzo
Aplicamos el mismo filtro que superó cada herramienta de Strix: análisis estático, una auditoría de dependencias y de la cadena de suministro, una revisión de código adversaria y un trabajo de refuerzo. Recibes los hallazgos y los resolvemos juntos.
- 04
Se publica como Strix
Tras la aceptación, tu herramienta obtiene su propio repositorio dentro de la organización Strix, una página de aterrizaje localizada en este sitio y versiones con sumas de comprobación SHA-256 y una atestación de procedencia de compilación.
Lo que debe ser una herramienta de Strix
Estos puntos no son negociables — son las promesas sobre las que se construye toda la suite. Si tu herramienta ya se rige por ellas, se sentirá como en casa desde el primer momento.
Código abierto
Código fuente público bajo la licencia MIT (o una licencia permisiva compatible con MIT). Nada oculto, nada ofuscado.
Sin conexión de forma predeterminada
Ninguna llamada de red propia en el caso de una herramienta de escritorio. Si la red es la razón de ser de la herramienta (recon/OSINT), debe ser sin clave, sujeta a consentimiento y con un alcance claramente delimitado.
Cero telemetría
Sin SDK de analítica, sin comunicación oculta, sin cuentas. Los datos del usuario nunca salen de su máquina.
Una sola tarea, bien hecha
Una utilidad específica, con valores predeterminados sensatos, un alcance claro y una declaración explícita de lo que deliberadamente no hace.
Documentada y comprobable
Un README, un archivo SECURITY.md con un modelo de amenazas y pruebas de regresión para todo lo crítico para la seguridad.
Mínimo privilegio
Sin llamadas al intérprete de comandos, sin ejecución de código dinámico, llamadas a subprocesos solo mediante argv, resolución de herramientas por ruta absoluta y elevación de privilegios solo donde sea realmente necesaria.
La revisión de seguridad que atraviesa cada propuesta
El mismo filtro que las herramientas existentes superaron antes de su lanzamiento. Nada se publica hasta que lo supera.
- Análisis estático (SAST)semgrep, bandit, PSScriptAnalyzer, los analizadores de Roslyn y los linters adecuados a cada lenguaje en toda la base de código.
- Auditoría de dependencias y de la cadena de suministroVersiones fijadas, un SBOM, pip-audit / Dependabot y una comprobación de que cada dependencia de terceros está justificada.
- Revisión de código adversariaUna pasada humana en busca de inyecciones, salto de directorio, SSRF, escalada de privilegios y cualquier debilitamiento de un control de seguridad.
- RefuerzoCerramos las brechas juntos: mínimo privilegio, sin intérprete de comandos, validación de entradas, valores predeterminados que se cierran ante un fallo y defensa en profundidad en las rutas peligrosas.
- Procedencia en cada versiónLa CI compila cada versión, escribe un archivo SHA256SUMS en SHA-256 y adjunta una atestación de procedencia de compilación SLSA, de modo que cada descarga es verificable.
Lo que conservas — y lo que obtienes
Contribuir a Strix no significa ceder tu trabajo.
Tu autoría y tus derechos de autor
Sigues siendo el autor. Los derechos de autor MIT son tuyos; Strix lo distribuye y lo mantiene junto a ti.
Un público real
Una página de aterrizaje localizada en 13 idiomas, la integración de SEO/GEO y un lugar en la cuadrícula de herramientas y en las descargas.
Un pipeline de publicación de confianza
Sumas de comprobación, atestación, una futura vía de firma de código (SignPath Foundation) y un proceso de divulgación de seguridad — configurados para ti.
Mantenimiento conjunto
Las incidencias, las pull requests y los informes de seguridad siguen el mismo proceso que el resto de la suite. No estás solo.
¿Listo para enviar tu herramienta?
Abre una incidencia de propuesta con el enlace de tu repositorio y una breve descripción. La recogeremos, haremos la revisión y trabajaremos contigo a partir de ahí. ¿Aún no estás listo? Lee primero la guía de contribución completa.
Para enviar una herramienta solo necesitas una cuenta de GitHub. No hay ninguna tarifa, ningún acuerdo de colaborador que te arrebate tus derechos ni ninguna obligación — puedes retirarte en cualquier momento antes de la publicación.
FAQ
¿Pierdo la propiedad de mi herramienta?
No. Conservas la autoría y los derechos de autor MIT. Strix la mantiene y la distribuye junto a ti, y puedes retirarte antes de la publicación.
¿Qué lenguajes o frameworks se permiten?
Cualquiera. La suite existente abarca Python, C#, PowerShell y más — lo que importa es la licencia, las reglas de «sin conexión / sin telemetría» y superar la revisión de seguridad, no la pila tecnológica.
¿Y si mi herramienta necesita la red?
Eso solo es aceptable si la red es su verdadera razón de ser (como las herramientas recon/OSINT). En ese caso debe ser sin clave, sujeta a un consentimiento explícito, con un alcance claramente delimitado y de uso autorizado exclusivamente — nunca tráfico silencioso o en segundo plano.
¿Cuánto tarda la revisión?
Depende del tamaño de la herramienta y de cuántos hallazgos aparezcan. Las herramientas pequeñas y ya reforzadas avanzan rápido; todo lo que toque operaciones destructivas o elevación de privilegios recibe un escrutinio adicional.
¿Qué ocurre si no la supera?
Recibes todos los hallazgos y puedes resolverlos y volver a enviarla. Una revisión que encuentra problemas es la prueba de que el proceso funciona — es exactamente lo que les ocurrió a las herramientas que ya forman parte de la suite.