私たちを検証してください — ただ信用するのではなく。
Strix Advanced Tools は無料でオープンソース(MIT)であり、完全にオフラインで動作するように作られています。私たちの Windows ビルドは、有料証明書によるコード署名がまだ行われていません — 私たちは小規模で独立した、予算ゼロのプロジェクトであり、それを隠すよりも率直にお伝えしたいと考えています。すべてのツールがオープンソースなので、私たちの言葉を鵜呑みにする必要はありません。ご自身で確かめる方法をご紹介します。
最終更新
📖 ソースコードは公開されています
すべてのツールが MIT ライセンスの公開 GitHub リポジトリです。すべてのコードを読み、自分でリビルドし、それが謳いどおりに動作することを確認してください。
🔗 ビルドは証明されています
各リリースには GitHub のビルド来歴証明(SLSA Build L2)が付属します — そのファイルがこのソースコードから、GitHub のサーバー上でビルドされ、以降改変されていないことの暗号学的な証明です。
✈️ 外部への通信は一切ありません
デスクトップツールはネットワーク通信を一切行いません。ネットワークケーブルを抜いても動作し、送信トラフィックを監視しても何も見えません。
ダウンロードを検証する
検証は任意です — GitHub リリースからダウンロードしたのであれば、すでに問題ありません。それでも確実を期したい場合は、各リリースに SHA256SUMS ファイルが付属しており、それと照合する方法を以下に示します。例のファイル名は、ダウンロードしたツールのものに置き換えてください。
🪟 Windowsチェックサムを確認する
ダウンロードを保存したフォルダーで、PowerShell を実行します。
Get-FileHash .\Strix-Inspector-Setup.exe -Algorithm SHA256
表示されたハッシュを SHA256SUMS の該当行と比較してください。一致していれば、そのファイルは私たちが公開したものとバイト単位で同一です。
Algorithm Hash Path
--------- ---- ----
SHA256 3F2A… (compare this to the value in SHA256SUMS) …\Strix-Inspector-Setup.exe
🐧 Linuxチェックサムを確認する
ダウンロードとその SHA256SUMS を同じフォルダーに置き、次を実行します。
sha256sum -c SHA256SUMS
ファイルごとに一語の応答が返ります — OK が表示されれば成功です。
Strix-Inspector-Setup.exe: OK
🔗 すべての OSビルドの来歴を検証する
チェックサムよりも強力です。バイナリが、私たちの公開 CI 上で公開ソースコードからビルドされたことを証明します。GitHub CLI 2.49 以降が必要です。 GitHub CLI
gh attestation verify Strix-Inspector-Setup.exe --repo strix-tool/strix-inspector
そのファイルを生成した正確なソースリポジトリ名を示す、緑色の成功メッセージが表示されます。
Loaded digest sha256:… for file://Strix-Inspector-Setup.exe
✓ Verification succeeded!
- Source Repository: strix-tool/strix-inspector
- Predicate type: https://slsa.dev/provenance/v1
チェックサムは各 GitHub Release で公開され、HTTPS 経由でミラーされます — 例: SHA256SUMS。来歴証明は私たちではなく GitHub 上に保存されているため、私たちも、侵害されたダウンロードミラーも、それを偽造することはできません。 SHA256SUMS
どのデータがマシンを離れるのか
手短に言えば、デスクトップツールについては何も離れません。以下に詳細を示します — どの行も、パケットキャプチャで確認できるものです。
| カテゴリ | 内容 | 送信先 |
| 処理するファイル | メタデータ、ディスクの内容、アーカイブ — あなたのマシン上でその場で読み書きされます。 | アップロードされません。どこにも送信されません。 |
|---|
| システム情報 | ホスト名、ユーザー名、シリアル番号、IP アドレス、ハードウェア — アプリ内でのみ表示されます。 | ローカルで表示されるだけで、送信されることはありません。 |
|---|
| 設定とレポート | 環境設定、ログ、HTML/PDF レポート。 | ディスク上(%LOCALAPPDATA% / ~/.config)に保存され、サーバーに同期されることはありません。 |
|---|
| 利用状況とクラッシュの分析 | ありません。分析 SDK も、テレメトリも、外部への通信もありません。 | 何も収集されません。 |
|---|
| ネットワーク送信(デスクトップツール) | MetaVault、Pulse、Inspector、Sentinel、Sinkhole、Talon。 | 送信ソケットはゼロです。ネットワークを切断しても動作します。 |
|---|
| ネットワーク送信(偵察ツール) | Vantage と Archer — その仕事そのものがネットワークです。 | 同意ゲートを経て、あなたが明示的に発動する、鍵不要の公開 API のみを使用し、タイムアウトで制限されます。 |
ウイルス対策ソフトと SmartScreen の警告
私たちの Windows アプリは署名されておらず、PyInstaller でパッケージ化されているため、Windows SmartScreen が “不明な発行元” or “あまりダウンロードされていません” と表示したり、約 70 のウイルス対策エンジンのうちいくつかがインストーラーを検知したりすることがあります。 これは、新しく、署名されていない、オープンソースのソフトウェアでは想定内のことです — アプリのパッケージ化の仕方に関する一般的なヒューリスティックであり、実際のマルウェアを検出したわけではありません。
- なぜ起こるのか: PyInstaller のブートローダーは一般的なパッケージ化形式であり(マルウェアも使用します)、新しいファイルにはダウンロードの評価がなく、署名されていないバイナリには「証明されるまで疑わしい」というペナルティが課されます。
- 本当の証拠は 上記のチェックサムと来歴証明、そしてあなたが読めるソースコードです — どこかのベンダーのヒューリスティックではありません。
- 私たちの取り組み: 誤検知が見つかるたびにベンダーへ報告しており、オープンソースプロジェクト向けの SignPath Foundation の無料コード署名プログラムに申請中です。評価が高まるにつれて展開していきます。
- ウイルス対策ソフトを決して無効にしないでください。 不安な場合は、チェックサムを検証するか、ソースからツールを実行してください。
リリースが公開されると、ビルドごとにライブの VirusTotal スキャンへのリンクを掲載するので、現在の結果をご自身で確認できます。私たちは「クリーンなスキャン」のスクリーンショットを掲載したり「検出ゼロ」を主張したりすることは決してありません — クリックできるライブリンクは、次のビルドで古くなるスクリーンショットに勝ります。
ソースコードを読む
すべての中で最も強力な保証です。任意のリポジトリで socket、urllib、requests、http を grep して、何がネットワークに触れ — そして何が触れないのか — をご自身で確かめてください。
脅威モデル
- Strix が守るもの
- ファイルのメタデータを通じたデータ漏洩、廃棄されたドライブから復元可能なデータ、トラッカー/テレメトリ/広告のドメイン、密かな送信接続、不明な自動起動項目やデバイス、そして中身を検査できないクローズドソースのツール。
- Strix ではないもの
- ウイルス対策ソフトや EDR ではなく、サンドボックスでもなく、侵害された OS や、すでに管理者権限で動作しているマルウェアに対する防御でもありません。デスクトップツールは情報を可視化し、あなたの指示に従って動作します。リアルタイムで能動的な脅威と戦うものではありません。
- 信頼の境界
- 来歴証明は、ダウンロードが GitHub CI を通じて、この公開ソースコードから改変されずに提供されたことを証明します。ソースコードが無害であることを証明するものではありません — それは、あなたが読んでリビルドできる、オープンな MIT コードの役割です。
脆弱性を見つけましたか?
非公開で報告してください — セキュリティ上の不具合について、公開の Issue を作成しないでください。各リポジトリには、脅威モデルと協調的な開示の経路を記した SECURITY.md があり、GitHub の非公開脆弱性報告が有効になっています。私たちは報復せず、ご希望であればあなたをクレジットします。