Strix Advanced Tools sono gratuiti, open source (MIT) e concepiti per funzionare completamente offline. I nostri binari Windows non sono ancora firmati digitalmente con un certificato a pagamento — siamo un piccolo progetto indipendente e senza budget, e preferiamo dirlo chiaramente piuttosto che nasconderlo. Poiché ogni strumento è open source, non devi crederci sulla parola per nulla. Ecco come verificarlo tu stesso.
Ultimo aggiornamento
📖
Il codice sorgente è pubblico
Ogni strumento è un repository GitHub pubblico con licenza MIT. Leggi ogni riga, ricompilalo tu stesso e conferma che fa esattamente ciò che dichiara.
🔗
I binari sono attestati
Ogni versione include un’attestazione di provenienza della build GitHub (SLSA Build L2) — una prova crittografica che il file è stato compilato da questo codice sorgente, sui server di GitHub, e non è stato modificato da allora.
✈️
Nulla comunica di nascosto
Gli strumenti desktop non effettuano alcuna chiamata di rete. Scollega il cavo di rete e continueranno a funzionare; monitora il tuo traffico in uscita e non ne vedrai alcuno.
Verifica il tuo download
La verifica è facoltativa — se hai scaricato da una versione GitHub, va già tutto bene. Ma se vuoi esserne certo, ogni versione include un file SHA256SUMS, ed ecco come confrontarlo. Sostituisci il nome file d’esempio con lo strumento che hai scaricato.
🪟 WindowsVerifica il checksum
Nella cartella in cui hai salvato il download, esegui PowerShell:
Confronta l’hash visualizzato con la riga corrispondente in SHA256SUMS. Se sono identici, il file è, byte per byte, quello che abbiamo pubblicato:
Algorithm Hash Path
--------- ---- ----
SHA256 3F2A… (compare this to the value in SHA256SUMS) …\Strix-Inspector-Setup.exe
🐧 LinuxVerifica il checksum
Metti il download e il suo file SHA256SUMS nella stessa cartella, poi:
sha256sum -c SHA256SUMS
Una risposta di una sola parola per ogni file — vuoi ottenere OK:
Strix-Inspector-Setup.exe: OK
🔗 Qualsiasi sistema operativoVerifica la provenienza della build
Più efficace di un checksum: dimostra che il binario è stato compilato dal nostro codice sorgente pubblico, nella nostra CI pubblica. Richiede GitHub CLI 2.49+: GitHub CLI
I checksum vengono pubblicati in ogni GitHub Release e replicati via HTTPS — esempio SHA256SUMS. L’attestazione di provenienza è archiviata su GitHub, non da noi: quindi né noi né un mirror di download compromesso possiamo falsificarla. SHA256SUMS
Quali dati lasciano la tua macchina
In breve: per gli strumenti desktop, nessuno. Ecco il dettaglio completo — e ogni riga può essere confermata con una cattura dei pacchetti.
Categoria
Di cosa si tratta
Dove va a finire
I file che elabori
Metadati, contenuto dei dischi, archivi — letti e scritti sul posto, sulla tua macchina.
Mai caricati. Nulla viene inviato da nessuna parte.
I dettagli del tuo sistema
Nome host, nome utente, numeri di serie, indirizzi IP, hardware — mostrati solo all’interno dell’applicazione.
Visualizzati localmente; mai trasmessi.
Impostazioni e report
Preferenze, log, report HTML/PDF.
Salvati su disco (%LOCALAPPDATA% / ~/.config); mai sincronizzati con un server.
Statistiche di utilizzo e di crash
Nessuna. Non c’è alcun SDK di analisi, nessuna telemetria, nessuna comunicazione nascosta.
Zero socket in uscita. Disconnetti la rete — continuano a funzionare.
Traffico di rete in uscita (strumenti di ricognizione)
Vantage e Archer — la cui funzione stessa è la rete.
Solo API pubbliche senza chiave che avvii esplicitamente, dopo una conferma di consenso, limitate da timeout.
Avvisi dell’antivirus e di SmartScreen
Poiché le nostre applicazioni Windows non sono firmate e sono impacchettate con PyInstaller, Windows SmartScreen potrebbe indicare “editore sconosciuto” or “poco scaricato,” e una manciata dei circa 70 motori antivirus potrebbe segnalare l’installer. È un comportamento previsto per un software recente, non firmato e open source — si tratta di un’euristica generica legata al modo in cui l’applicazione è impacchettata, non del rilevamento di un vero malware.
Perché accade: il bootloader di PyInstaller è un formato di impacchettamento comune (lo usano anche i malware), un file nuovissimo non ha alcuna reputazione di download e i binari non firmati subiscono una penalità di tipo «sospetto fino a prova contraria».
La vera prova sono il checksum e l’attestazione di provenienza qui sopra, oltre al codice sorgente che puoi leggere — non l’euristica di un qualsiasi fornitore.
Cosa facciamo: segnaliamo i falsi positivi ai fornitori man mano che compaiono e ci stiamo candidando al programma gratuito di firma del codice della SignPath Foundation destinato ai progetti open source, che adotteremo man mano che la reputazione crescerà.
Non disattivare mai il tuo antivirus. In caso di dubbio, verifica il checksum oppure esegui lo strumento dal codice sorgente.
Forniamo un link a una scansione VirusTotal in tempo reale per ogni build non appena esce una versione, così puoi constatare il risultato attuale di persona. Non pubblicheremo mai lo screenshot di una «scansione pulita» né dichiareremo «zero rilevamenti» — un link in tempo reale su cui puoi cliccare vale più di uno screenshot che diventa obsoleto alla build successiva.
Leggi il codice sorgente
La garanzia più forte di tutte. Esegui un grep in qualsiasi repository su socket, urllib, requests o http e constata di persona cosa utilizza — e cosa non utilizza — la rete.
La fuga di dati attraverso i metadati dei file, i dati recuperabili su dischi dismessi, i domini di tracker/telemetria/pubblicità, le connessioni in uscita silenziose, i programmi ad avvio automatico e i dispositivi sconosciuti, oltre agli strumenti closed source che non puoi ispezionare.
Cosa Strix NON è
Non è un antivirus/EDR, non è una sandbox e non è una difesa contro un sistema operativo compromesso o un malware già in esecuzione con privilegi di amministratore. Gli strumenti desktop fanno emergere informazioni e agiscono su tuo comando; non combattono le minacce attive in tempo reale.
Perimetro di fiducia
La provenienza dimostra che un download proviene, senza modifiche, da questo codice sorgente pubblico tramite la CI di GitHub. Non dimostra che il codice sorgente sia innocuo — a questo serve il codice MIT aperto, che puoi leggere e ricompilare.
Hai trovato una vulnerabilità?
Segnalala in privato — non aprire una segnalazione pubblica per un problema di sicurezza. Ogni repository dispone di un file SECURITY.md che descrive il modello di minaccia e un canale di divulgazione coordinata, e la segnalazione privata delle vulnerabilità di GitHub è attiva. Non adotteremo alcuna ritorsione e ti daremo credito, se lo desideri.