Strix Advanced Tools
IT

Verificaci — non limitarti a fidarti.

Strix Advanced Tools sono gratuiti, open source (MIT) e concepiti per funzionare completamente offline. I nostri binari Windows non sono ancora firmati digitalmente con un certificato a pagamento — siamo un piccolo progetto indipendente e senza budget, e preferiamo dirlo chiaramente piuttosto che nasconderlo. Poiché ogni strumento è open source, non devi crederci sulla parola per nulla. Ecco come verificarlo tu stesso.

Ultimo aggiornamento

📖

Il codice sorgente è pubblico

Ogni strumento è un repository GitHub pubblico con licenza MIT. Leggi ogni riga, ricompilalo tu stesso e conferma che fa esattamente ciò che dichiara.

🔗

I binari sono attestati

Ogni versione include un’attestazione di provenienza della build GitHub (SLSA Build L2) — una prova crittografica che il file è stato compilato da questo codice sorgente, sui server di GitHub, e non è stato modificato da allora.

✈️

Nulla comunica di nascosto

Gli strumenti desktop non effettuano alcuna chiamata di rete. Scollega il cavo di rete e continueranno a funzionare; monitora il tuo traffico in uscita e non ne vedrai alcuno.

Verifica il tuo download

La verifica è facoltativa — se hai scaricato da una versione GitHub, va già tutto bene. Ma se vuoi esserne certo, ogni versione include un file SHA256SUMS, ed ecco come confrontarlo. Sostituisci il nome file d’esempio con lo strumento che hai scaricato.

🪟 WindowsVerifica il checksum

Nella cartella in cui hai salvato il download, esegui PowerShell:

Get-FileHash .\Strix-Inspector-Setup.exe -Algorithm SHA256

Confronta l’hash visualizzato con la riga corrispondente in SHA256SUMS. Se sono identici, il file è, byte per byte, quello che abbiamo pubblicato:

Algorithm  Hash                                                              Path
---------  ----                                                              ----
SHA256     3F2A…  (compare this to the value in SHA256SUMS)                    …\Strix-Inspector-Setup.exe
🐧 LinuxVerifica il checksum

Metti il download e il suo file SHA256SUMS nella stessa cartella, poi:

sha256sum -c SHA256SUMS

Una risposta di una sola parola per ogni file — vuoi ottenere OK:

Strix-Inspector-Setup.exe: OK
🔗 Qualsiasi sistema operativoVerifica la provenienza della build

Più efficace di un checksum: dimostra che il binario è stato compilato dal nostro codice sorgente pubblico, nella nostra CI pubblica. Richiede GitHub CLI 2.49+: GitHub CLI

gh attestation verify Strix-Inspector-Setup.exe --repo strix-tool/strix-inspector

Una riga verde di successo che indica l’esatto repository sorgente che ha prodotto il file:

Loaded digest sha256:… for file://Strix-Inspector-Setup.exe
✓ Verification succeeded!

  - Source Repository: strix-tool/strix-inspector
  - Predicate type:    https://slsa.dev/provenance/v1

I checksum vengono pubblicati in ogni GitHub Release e replicati via HTTPS — esempio SHA256SUMS. L’attestazione di provenienza è archiviata su GitHub, non da noi: quindi né noi né un mirror di download compromesso possiamo falsificarla. SHA256SUMS

Quali dati lasciano la tua macchina

In breve: per gli strumenti desktop, nessuno. Ecco il dettaglio completo — e ogni riga può essere confermata con una cattura dei pacchetti.

CategoriaDi cosa si trattaDove va a finire
I file che elaboriMetadati, contenuto dei dischi, archivi — letti e scritti sul posto, sulla tua macchina.Mai caricati. Nulla viene inviato da nessuna parte.
I dettagli del tuo sistemaNome host, nome utente, numeri di serie, indirizzi IP, hardware — mostrati solo all’interno dell’applicazione.Visualizzati localmente; mai trasmessi.
Impostazioni e reportPreferenze, log, report HTML/PDF.Salvati su disco (%LOCALAPPDATA% / ~/.config); mai sincronizzati con un server.
Statistiche di utilizzo e di crashNessuna. Non c’è alcun SDK di analisi, nessuna telemetria, nessuna comunicazione nascosta.Non viene mai raccolto nulla.
Traffico di rete in uscita (strumenti desktop)MetaVault, Pulse, Inspector, Sentinel, Sinkhole, Talon.Zero socket in uscita. Disconnetti la rete — continuano a funzionare.
Traffico di rete in uscita (strumenti di ricognizione)Vantage e Archer — la cui funzione stessa è la rete.Solo API pubbliche senza chiave che avvii esplicitamente, dopo una conferma di consenso, limitate da timeout.

Avvisi dell’antivirus e di SmartScreen

Poiché le nostre applicazioni Windows non sono firmate e sono impacchettate con PyInstaller, Windows SmartScreen potrebbe indicare “editore sconosciuto” or “poco scaricato,” e una manciata dei circa 70 motori antivirus potrebbe segnalare l’installer. È un comportamento previsto per un software recente, non firmato e open source — si tratta di un’euristica generica legata al modo in cui l’applicazione è impacchettata, non del rilevamento di un vero malware.

Forniamo un link a una scansione VirusTotal in tempo reale per ogni build non appena esce una versione, così puoi constatare il risultato attuale di persona. Non pubblicheremo mai lo screenshot di una «scansione pulita» né dichiareremo «zero rilevamenti» — un link in tempo reale su cui puoi cliccare vale più di uno screenshot che diventa obsoleto alla build successiva.

Leggi il codice sorgente

La garanzia più forte di tutte. Esegui un grep in qualsiasi repository su socket, urllib, requests o http e constata di persona cosa utilizza — e cosa non utilizza — la rete.

Modello di minaccia

Da cosa Strix ti protegge
La fuga di dati attraverso i metadati dei file, i dati recuperabili su dischi dismessi, i domini di tracker/telemetria/pubblicità, le connessioni in uscita silenziose, i programmi ad avvio automatico e i dispositivi sconosciuti, oltre agli strumenti closed source che non puoi ispezionare.
Cosa Strix NON è
Non è un antivirus/EDR, non è una sandbox e non è una difesa contro un sistema operativo compromesso o un malware già in esecuzione con privilegi di amministratore. Gli strumenti desktop fanno emergere informazioni e agiscono su tuo comando; non combattono le minacce attive in tempo reale.
Perimetro di fiducia
La provenienza dimostra che un download proviene, senza modifiche, da questo codice sorgente pubblico tramite la CI di GitHub. Non dimostra che il codice sorgente sia innocuo — a questo serve il codice MIT aperto, che puoi leggere e ricompilare.

Hai trovato una vulnerabilità?

Segnalala in privato — non aprire una segnalazione pubblica per un problema di sicurezza. Ogni repository dispone di un file SECURITY.md che descrive il modello di minaccia e un canale di divulgazione coordinata, e la segnalazione privata delle vulnerabilità di GitHub è attiva. Non adotteremo alcuna ritorsione e ti daremo credito, se lo desideri.