Crea uno strumento. Rendilo parte di Strix.
Strix è una suite, non un giardino recintato. Se hai creato uno strumento open source per la privacy o la sicurezza che vive secondo le stesse regole — offline per impostazione predefinita, zero telemetria, davvero verificabile — puoi proporlo. Una volta superata la stessa revisione di sicurezza e lo stesso processo di rafforzamento a cui è sottoposto ogni strumento Strix, viene pubblicato sotto l’ombrello di Strix: un proprio repository, una pagina su questo sito in 13 lingue e versioni con checksum e attestazione.
Ultimo aggiornamento
Come funziona
Quattro passi dal tuo repository a uno strumento Strix pubblicato — e mantieni la paternità e il copyright per tutto il percorso.
- 01
Crea il tuo strumento
Scrivilo in qualsiasi linguaggio, per Windows e/o Linux, con una licenza compatibile con la MIT. Rispetta i criteri qui sotto: offline, senza telemetria, un solo compito svolto bene.
- 02
Apri una proposta
Apri una issue di proposta su GitHub con un link al tuo repository, cosa fa, le piattaforme a cui si rivolge e come interagisce con la rete — se lo fa. Non serve alcun account presso di noi; basta GitHub.
- 03
Revisione di sicurezza e rafforzamento
Applichiamo lo stesso vaglio superato da ogni strumento Strix: analisi statica, un audit delle dipendenze e della catena di approvvigionamento, una revisione avversariale del codice e un processo di rafforzamento. Ricevi i risultati e li affrontiamo insieme.
- 04
Viene pubblicato come Strix
All’accettazione, il tuo strumento ottiene un proprio repository sotto l’organizzazione Strix, una landing page localizzata su questo sito e versioni con checksum SHA-256 e un’attestazione di provenienza della build.
Cosa deve essere uno strumento Strix
Questi requisiti non sono negoziabili — sono le promesse su cui è costruita l’intera suite. Se il tuo strumento vive già secondo queste regole, si troverà perfettamente a suo agio.
Open source
Codice sorgente pubblico con licenza MIT (o una licenza permissiva compatibile con la MIT). Nulla di nascosto, nulla di offuscato.
Offline per impostazione predefinita
Nessuna chiamata di rete propria per uno strumento desktop. Se la funzione stessa dello strumento è la rete (recon/OSINT), deve essere senza chiavi, subordinato al consenso e con un perimetro chiaramente definito.
Zero telemetria
Nessun SDK di analisi, nessuna comunicazione nascosta, nessun account. I dati dell’utente non lasciano mai la sua macchina.
Un solo compito, svolto bene
Un’utilità mirata con impostazioni predefinite sensate, un perimetro chiaro e una dichiarazione esplicita di ciò che deliberatamente non fa.
Documentato e testabile
Un README, un SECURITY.md con un modello di minaccia e test di regressione per tutto ciò che è critico per la sicurezza.
Privilegio minimo
Nessuna chiamata a un interprete di comandi, nessuna esecuzione di codice dinamico, chiamate ai sottoprocessi solo tramite argv, risoluzione degli strumenti tramite percorso assoluto ed elevazione dei privilegi solo dove è davvero necessaria.
La revisione di sicurezza a cui è sottoposta ogni proposta
Lo stesso vaglio superato dagli strumenti esistenti prima del lancio. Nulla viene pubblicato finché non lo supera.
- Analisi statica (SAST)semgrep, bandit, PSScriptAnalyzer, gli analizzatori Roslyn e i linter appropriati per ciascun linguaggio, sull’intero codice sorgente.
- Audit delle dipendenze e della catena di approvvigionamentoVersioni bloccate, un SBOM, pip-audit / Dependabot e una verifica che ogni dipendenza di terze parti sia giustificata.
- Revisione avversariale del codiceUna revisione umana a caccia di injection, path traversal, SSRF, escalation dei privilegi e qualsiasi indebolimento di un controllo di sicurezza.
- RafforzamentoColmiamo insieme le lacune: privilegio minimo, nessun interprete di comandi, validazione degli input, impostazioni predefinite fail-closed e difesa in profondità sui percorsi pericolosi.
- Provenienza su ogni versioneLa CI compila ogni versione, scrive un SHA256SUMS SHA-256 e allega un’attestazione di provenienza della build SLSA, così ogni download è verificabile.
Cosa mantieni — e cosa ottieni
Contribuire a Strix non significa cedere il tuo lavoro.
La tua paternità e il tuo copyright
Rimani l’autore. Il copyright MIT è tuo; Strix lo distribuisce e lo co-mantiene insieme a te.
Un pubblico reale
Una landing page localizzata in 13 lingue, il cablaggio SEO/GEO e un posto nella griglia degli strumenti e nei download.
Una pipeline di rilascio affidabile
Checksum, attestazione, un percorso di firma del codice a tendere (SignPath Foundation) e un processo di divulgazione delle vulnerabilità — predisposti per te.
Co-manutenzione
Issue, PR e segnalazioni di sicurezza seguono lo stesso processo del resto della suite. Non sei da solo.
Pronto a proporre il tuo strumento?
Apri una issue di proposta con il link al tuo repository e una breve descrizione. La prenderemo in carico, eseguiremo la revisione e lavoreremo con te da lì in avanti. Non ancora pronto? Leggi prima la guida completa per contribuire.
Per proporre uno strumento serve solo un account GitHub. Non c’è alcun costo, nessun accordo per i contributori che ti tolga i tuoi diritti e nessun obbligo — puoi ritirarti in qualsiasi momento prima del rilascio.
FAQ
Perdo la proprietà del mio strumento?
No. Mantieni la paternità e il copyright MIT. Strix lo co-mantiene e lo distribuisce insieme a te, e puoi ritirarti prima del rilascio.
Quali linguaggi o framework sono ammessi?
Qualsiasi. La suite esistente spazia tra Python, C#, PowerShell e altro — ciò che conta è la licenza, le regole offline/senza telemetria e il superamento della revisione di sicurezza, non la tecnologia utilizzata.
E se il mio strumento ha bisogno della rete?
Va bene solo se la rete è la sua vera funzione (come per gli strumenti recon/OSINT). In tal caso deve essere senza chiavi, subordinato a un consenso esplicito, con un perimetro chiaramente definito e riservato a un uso autorizzato — mai traffico silenzioso o in background.
Quanto tempo richiede la revisione?
Dipende dalle dimensioni dello strumento e da quanti problemi emergono. Gli strumenti piccoli e già rafforzati procedono rapidamente; tutto ciò che tocca operazioni distruttive o l’elevazione dei privilegi riceve un esame supplementare.
Cosa succede se non la supera?
Ricevi i risultati completi e puoi risolverli e riproporre lo strumento. Una revisione che trova problemi è il processo che funziona — è successo lo stesso agli strumenti già presenti nella suite.