ツールを作る。そして Strix の一員にする。
Strix は「壁に囲まれた庭」ではなく、ひとつのスイートです。同じ原則 — デフォルトでオフライン、テレメトリはゼロ、そして本当に監査できること — に従って動く、オープンソースのプライバシー/セキュリティツールをあなたが作ったのなら、その採用を提案できます。すべての Strix ツールが通るのと同じセキュリティレビューと堅牢化のプロセスを通過すれば、それは Strix の傘の下でリリースされます。独自のリポジトリ、このサイト上の 13 言語のページ、そしてチェックサムと証明が付いたリリースとともに。
最終更新
仕組み
あなたのリポジトリから、リリース済みの Strix ツールになるまでの 4 ステップ — そしてその間ずっと、著作者としての立場と著作権はあなたのものです。
- 01
ツールを作る
任意の言語で、Windows と/または Linux 向けに、MIT 互換のライセンスで書いてください。以下の基準を満たすこと: オフライン、テレメトリなし、ひとつのことをしっかりこなす。
- 02
応募を提出する
GitHub で応募用の Issue を作成し、リポジトリへのリンク、機能、対象プラットフォーム、そして — もしあれば — ネットワークにどう触れるかを記載してください。私たちのアカウントは不要で、GitHub があれば十分です。
- 03
セキュリティレビューと堅牢化
すべての Strix ツールが通過したのと同じ関門を実施します。静的解析、依存関係とサプライチェーンの監査、敵対的なコードレビュー、そして堅牢化のプロセスです。あなたには指摘事項をお渡しし、一緒に一つずつ解決していきます。
- 04
Strix としてリリースされる
受理されると、あなたのツールは Strix 組織の下に独自のリポジトリを持ち、このサイトにローカライズされたランディングページが用意され、SHA-256 チェックサムとビルド来歴証明を付けてリリースされます。
Strix ツールが満たすべき条件
これらは譲れません — スイート全体が拠って立つ約束だからです。あなたのツールがすでにこれらに従っているなら、きっと居心地よく感じるはずです。
オープンソース
MIT ライセンス(または MIT 互換の寛容なライセンス)の下で公開されたソース。隠すものも、難読化するものもありません。
デフォルトでオフライン
デスクトップツールであれば、自らのネットワーク通信は一切なし。ネットワークこそがそのツールの目的そのものである場合(偵察/OSINT)は、鍵不要で、同意によって制御され、明確に範囲が限定されていなければなりません。
テレメトリはゼロ
分析 SDK なし、外部への通信なし、アカウントなし。ユーザーのデータがマシンを離れることは決してありません。
ひとつの仕事を、しっかりと
適切なデフォルト、明確な範囲を備え、そして意図的に「何をしないか」を明示した、目的の絞られたユーティリティ。
ドキュメントとテストがある
README、脅威モデルを記した SECURITY.md、そして安全性が重要なあらゆる部分に対する回帰テスト。
最小権限
シェル呼び出しなし、動的コードの実行なし、サブプロセス呼び出しは argv のみ、ツールは絶対パスで解決し、権限昇格は本当に必要な場合に限る。
すべての応募が通るセキュリティレビュー
既存のツールがローンチ前にくぐり抜けたのと同じ関門です。通過するまで、何もリリースされません。
- 静的解析(SAST)コードベース全体にわたる semgrep、bandit、PSScriptAnalyzer、Roslyn アナライザー、そして言語に応じた各種 linter。
- 依存関係とサプライチェーンの監査固定されたバージョン、SBOM、pip-audit / Dependabot、そしてすべてのサードパーティ依存が正当であることの確認。
- 敵対的なコードレビューインジェクション、パストラバーサル、SSRF、権限昇格、そして安全対策を弱めるあらゆる箇所を探し出す、人手によるレビュー。
- 堅牢化一緒に隙をふさぎます。最小権限、シェルなし、入力検証、フェイルクローズドなデフォルト、そして危険な処理経路における多層防御。
- すべてのリリースに来歴をCI が各リリースをビルドし、SHA-256 の SHA256SUMS を生成し、SLSA ビルド来歴証明を添付するので、どのダウンロードも検証できます。
あなたが保つもの — そして得るもの
Strix に貢献することは、自分の成果を手放すことではありません。
あなたの著作者としての立場と著作権
あなたは著作者のままです。MIT の著作権はあなたのものであり、Strix はあなたとともにそれを配布し、共同でメンテナンスします。
本物の届け先
13 言語でローカライズされたランディングページ、SEO/GEO の整備、そしてツール一覧とダウンロードの中の居場所。
信頼できるリリースパイプライン
チェックサム、証明、いずれ整うコード署名の道筋(SignPath Foundation)、そしてセキュリティ開示のプロセス — あなたのために整えます。
共同メンテナンス
Issue、PR、セキュリティ報告は、スイートの他の部分と同じプロセスを流れます。あなたが独りきりになることはありません。
応募する準備はできましたか?
リポジトリへのリンクと短い説明を添えて、応募用の Issue を作成してください。私たちがそれを受け取り、レビューを実施し、そこからあなたと一緒に進めていきます。まだ準備ができていませんか? まずは完全な貢献ガイドをお読みください。
応募に必要なのは GitHub アカウントだけです。費用はかからず、あなたの権利を奪うような貢献者同意書もなく、義務もありません — リリース前であればいつでも取り下げられます。
FAQ
自分のツールの所有権を失いますか?
いいえ。著作者としての立場と MIT の著作権はあなたのものです。Strix はあなたとともに共同でメンテナンスし配布しますし、リリース前なら取り下げられます。
どの言語やフレームワークが使えますか?
何でも構いません。既存のスイートは Python、C#、PowerShell などにまたがっています — 大切なのはライセンス、オフライン/テレメトリなしという原則、そしてセキュリティレビューの通過であって、技術スタックではありません。
ツールがネットワークを必要とする場合はどうなりますか?
それが問題ないのは、ネットワークがその実際の目的である場合(偵察/OSINT ツールのように)に限られます。その場合は、鍵不要で、明示的な同意を経て、明確に範囲が限定され、許可された用途のみ — 決して、密かな通信やバックグラウンドの通信であってはなりません。
レビューにはどのくらいかかりますか?
ツールの規模と、浮かび上がる指摘の数によります。小さく、すでに堅牢化されたツールは早く進みます。破壊的な操作や権限昇格に触れるものは、追加の精査を受けます。
通過しなかった場合はどうなりますか?
指摘事項をすべてお渡しするので、それらに対処して再提出できます。問題が見つかるレビューは、プロセスが機能している証です — すでにスイートにあるツールにも同じことが起きました。