Créez un outil. Intégrez-le à Strix.
Strix est une suite, pas un jardin clos. Si vous avez créé un outil de confidentialité ou de sécurité open source qui vit selon les mêmes règles — hors ligne par défaut, zéro télémétrie, véritablement auditable —, vous pouvez le proposer. Une fois qu’il a passé la même revue de sécurité et le même travail de durcissement que chaque outil Strix, il est publié sous la bannière Strix : son propre dépôt, une page sur ce site en 13 langues, et des versions avec sommes de contrôle et attestation.
Dernière mise à jour
Comment ça marche
Quatre étapes, de votre dépôt à un outil Strix publié — et vous en conservez la paternité et le droit d’auteur d’un bout à l’autre.
- 01
Créez votre outil
Écrivez-le dans n’importe quel langage, pour Windows et/ou Linux, sous une licence compatible MIT. Respectez les critères ci-dessous : hors ligne, sans télémétrie, une seule tâche bien accomplie.
- 02
Ouvrez une proposition
Ouvrez un ticket de proposition sur GitHub avec un lien vers votre dépôt, ce qu’il fait, les plateformes qu’il vise et la manière dont il touche au réseau — si tant est qu’il le fasse. Aucun compte chez nous n’est nécessaire ; seulement GitHub.
- 03
Revue de sécurité et durcissement
Nous appliquons le même filtre que chaque outil Strix a franchi : analyse statique, audit des dépendances et de la chaîne d’approvisionnement, revue de code adverse et travail de durcissement. Vous recevez les constats et nous les traitons ensemble.
- 04
Il est publié sous Strix
Une fois accepté, votre outil obtient son propre dépôt au sein de l’organisation Strix, une page d’accueil localisée sur ce site, et des versions accompagnées de sommes de contrôle SHA-256 et d’une attestation de provenance de build.
Ce que doit être un outil Strix
Ces points ne sont pas négociables — ce sont les promesses sur lesquelles repose toute la suite. Si votre outil vit déjà selon ces règles, il se sentira tout de suite chez lui.
Open source
Code source public sous licence MIT (ou une licence permissive compatible MIT). Rien de caché, rien d’obscurci.
Hors ligne par défaut
Aucun appel réseau qui lui soit propre pour un outil de bureau. Si le réseau est la raison d’être de l’outil (recon/OSINT), il doit être sans clé, encadré par un consentement et clairement délimité.
Zéro télémétrie
Aucun SDK d’analyse, aucune communication cachée, aucun compte. Les données de l’utilisateur ne quittent jamais sa machine.
Une tâche, bien accomplie
Un utilitaire ciblé, avec des réglages par défaut judicieux, un périmètre clair et une déclaration explicite de ce qu’il ne fait délibérément pas.
Documenté et testable
Un README, un fichier SECURITY.md décrivant un modèle de menace, et des tests de non-régression pour tout ce qui est critique pour la sécurité.
Moindre privilège
Aucun appel à un interpréteur de commandes, aucune exécution de code dynamique, des appels de sous-processus en argv uniquement, une résolution des outils par chemin absolu, et une élévation de privilèges seulement là où elle est réellement nécessaire.
La revue de sécurité que traverse chaque proposition
Le même filtre que les outils existants ont franchi avant leur lancement. Rien n’est publié tant qu’il n’est pas franchi.
- Analyse statique (SAST)semgrep, bandit, PSScriptAnalyzer, les analyseurs Roslyn et les linters adaptés au langage, sur l’ensemble de la base de code.
- Audit des dépendances et de la chaîne d’approvisionnementVersions épinglées, un SBOM, pip-audit / Dependabot, et une vérification que chaque dépendance tierce est justifiée.
- Revue de code adverseUne passe humaine à la recherche d’injections, de traversée de chemin, de SSRF, d’élévation de privilèges et de tout affaiblissement d’un contrôle de sécurité.
- DurcissementNous comblons les lacunes ensemble : moindre privilège, pas d’interpréteur de commandes, validation des entrées, réglages par défaut qui se ferment en cas d’échec, et défense en profondeur sur les chemins dangereux.
- Provenance à chaque versionLa CI compile chaque version, écrit un fichier SHA256SUMS en SHA-256 et y joint une attestation de provenance de build SLSA, de sorte que chaque téléchargement est vérifiable.
Ce que vous conservez — et ce que vous obtenez
Contribuer à Strix ne signifie pas céder votre travail.
Votre paternité et votre droit d’auteur
Vous restez l’auteur. Le droit d’auteur MIT est le vôtre ; Strix le distribue et le comaintient avec vous.
Un véritable public
Une page d’accueil localisée en 13 langues, un câblage SEO/GEO, et une place dans la grille des outils et les téléchargements.
Un pipeline de publication de confiance
Sommes de contrôle, attestation, une future voie de signature de code (SignPath Foundation) et un processus de divulgation de sécurité — mis en place pour vous.
Comaintenance
Les tickets, les pull requests et les signalements de sécurité suivent le même processus que le reste de la suite. Vous n’êtes pas seul.
Prêt à proposer votre outil ?
Ouvrez un ticket de proposition avec le lien de votre dépôt et une brève description. Nous le prendrons en charge, mènerons la revue et travaillerons avec vous à partir de là. Pas encore prêt ? Lisez d’abord le guide de contribution complet.
Proposer un outil ne nécessite qu’un compte GitHub. Il n’y a aucuns frais, aucun accord de contributeur qui vous retire vos droits, et aucune obligation — vous pouvez vous retirer à tout moment avant la publication.
FAQ
Est-ce que je perds la propriété de mon outil ?
Non. Vous conservez la paternité et le droit d’auteur MIT. Strix le comaintient et le distribue avec vous, et vous pouvez vous retirer avant la publication.
Quels langages ou frameworks sont autorisés ?
Tous. La suite existante couvre Python, C#, PowerShell et bien d’autres — ce qui compte, c’est la licence, les règles « hors ligne / sans télémétrie » et le passage de la revue de sécurité, pas la pile technique.
Et si mon outil a besoin du réseau ?
Ce n’est acceptable que si le réseau est sa véritable raison d’être (comme les outils recon/OSINT). Il doit alors être sans clé, encadré par un consentement explicite, clairement délimité et réservé à un usage autorisé — jamais du trafic silencieux ou en arrière-plan.
Combien de temps prend la revue ?
Cela dépend de la taille de l’outil et du nombre de constats qui apparaissent. Les petits outils déjà durcis avancent vite ; tout ce qui touche à des opérations destructrices ou à une élévation de privilèges fait l’objet d’un examen supplémentaire.
Que se passe-t-il s’il échoue ?
Vous recevez l’ensemble des constats et pouvez les corriger puis proposer de nouveau. Une revue qui trouve des problèmes, c’est le processus qui fonctionne — c’est exactement ce qui est arrivé aux outils déjà présents dans la suite.