Strix Advanced Tools
JA

私たちを検証してください — ただ信用するのではなく。

Strix Advanced Tools は無料でオープンソース(MIT)であり、完全にオフラインで動作するように作られています。私たちの Windows ビルドは、有料証明書によるコード署名がまだ行われていません — 私たちは小規模で独立した、予算ゼロのプロジェクトであり、それを隠すよりも率直にお伝えしたいと考えています。すべてのツールがオープンソースなので、私たちの言葉を鵜呑みにする必要はありません。ご自身で確かめる方法をご紹介します。

最終更新

📖

ソースコードは公開されています

すべてのツールが MIT ライセンスの公開 GitHub リポジトリです。すべてのコードを読み、自分でリビルドし、それが謳いどおりに動作することを確認してください。

🔗

ビルドは証明されています

各リリースには GitHub のビルド来歴証明(SLSA Build L2)が付属します — そのファイルがこのソースコードから、GitHub のサーバー上でビルドされ、以降改変されていないことの暗号学的な証明です。

✈️

外部への通信は一切ありません

デスクトップツールはネットワーク通信を一切行いません。ネットワークケーブルを抜いても動作し、送信トラフィックを監視しても何も見えません。

ダウンロードを検証する

検証は任意です — GitHub リリースからダウンロードしたのであれば、すでに問題ありません。それでも確実を期したい場合は、各リリースに SHA256SUMS ファイルが付属しており、それと照合する方法を以下に示します。例のファイル名は、ダウンロードしたツールのものに置き換えてください。

🪟 Windowsチェックサムを確認する

ダウンロードを保存したフォルダーで、PowerShell を実行します。

Get-FileHash .\Strix-Inspector-Setup.exe -Algorithm SHA256

表示されたハッシュを SHA256SUMS の該当行と比較してください。一致していれば、そのファイルは私たちが公開したものとバイト単位で同一です。

Algorithm  Hash                                                              Path
---------  ----                                                              ----
SHA256     3F2A…  (compare this to the value in SHA256SUMS)                    …\Strix-Inspector-Setup.exe
🐧 Linuxチェックサムを確認する

ダウンロードとその SHA256SUMS を同じフォルダーに置き、次を実行します。

sha256sum -c SHA256SUMS

ファイルごとに一語の応答が返ります — OK が表示されれば成功です。

Strix-Inspector-Setup.exe: OK
🔗 すべての OSビルドの来歴を検証する

チェックサムよりも強力です。バイナリが、私たちの公開 CI 上で公開ソースコードからビルドされたことを証明します。GitHub CLI 2.49 以降が必要です。 GitHub CLI

gh attestation verify Strix-Inspector-Setup.exe --repo strix-tool/strix-inspector

そのファイルを生成した正確なソースリポジトリ名を示す、緑色の成功メッセージが表示されます。

Loaded digest sha256:… for file://Strix-Inspector-Setup.exe
✓ Verification succeeded!

  - Source Repository: strix-tool/strix-inspector
  - Predicate type:    https://slsa.dev/provenance/v1

チェックサムは各 GitHub Release で公開され、HTTPS 経由でミラーされます — 例: SHA256SUMS。来歴証明は私たちではなく GitHub 上に保存されているため、私たちも、侵害されたダウンロードミラーも、それを偽造することはできません。 SHA256SUMS

どのデータがマシンを離れるのか

手短に言えば、デスクトップツールについては何も離れません。以下に詳細を示します — どの行も、パケットキャプチャで確認できるものです。

カテゴリ内容送信先
処理するファイルメタデータ、ディスクの内容、アーカイブ — あなたのマシン上でその場で読み書きされます。アップロードされません。どこにも送信されません。
システム情報ホスト名、ユーザー名、シリアル番号、IP アドレス、ハードウェア — アプリ内でのみ表示されます。ローカルで表示されるだけで、送信されることはありません。
設定とレポート環境設定、ログ、HTML/PDF レポート。ディスク上(%LOCALAPPDATA% / ~/.config)に保存され、サーバーに同期されることはありません。
利用状況とクラッシュの分析ありません。分析 SDK も、テレメトリも、外部への通信もありません。何も収集されません。
ネットワーク送信(デスクトップツール)MetaVault、Pulse、Inspector、Sentinel、Sinkhole、Talon。送信ソケットはゼロです。ネットワークを切断しても動作します。
ネットワーク送信(偵察ツール)Vantage と Archer — その仕事そのものがネットワークです。同意ゲートを経て、あなたが明示的に発動する、鍵不要の公開 API のみを使用し、タイムアウトで制限されます。

ウイルス対策ソフトと SmartScreen の警告

私たちの Windows アプリは署名されておらず、PyInstaller でパッケージ化されているため、Windows SmartScreen が “不明な発行元” or “あまりダウンロードされていません” と表示したり、約 70 のウイルス対策エンジンのうちいくつかがインストーラーを検知したりすることがあります。 これは、新しく、署名されていない、オープンソースのソフトウェアでは想定内のことです — アプリのパッケージ化の仕方に関する一般的なヒューリスティックであり、実際のマルウェアを検出したわけではありません。

リリースが公開されると、ビルドごとにライブの VirusTotal スキャンへのリンクを掲載するので、現在の結果をご自身で確認できます。私たちは「クリーンなスキャン」のスクリーンショットを掲載したり「検出ゼロ」を主張したりすることは決してありません — クリックできるライブリンクは、次のビルドで古くなるスクリーンショットに勝ります。

ソースコードを読む

すべての中で最も強力な保証です。任意のリポジトリで socket、urllib、requests、http を grep して、何がネットワークに触れ — そして何が触れないのか — をご自身で確かめてください。

脅威モデル

Strix が守るもの
ファイルのメタデータを通じたデータ漏洩、廃棄されたドライブから復元可能なデータ、トラッカー/テレメトリ/広告のドメイン、密かな送信接続、不明な自動起動項目やデバイス、そして中身を検査できないクローズドソースのツール。
Strix ではないもの
ウイルス対策ソフトや EDR ではなく、サンドボックスでもなく、侵害された OS や、すでに管理者権限で動作しているマルウェアに対する防御でもありません。デスクトップツールは情報を可視化し、あなたの指示に従って動作します。リアルタイムで能動的な脅威と戦うものではありません。
信頼の境界
来歴証明は、ダウンロードが GitHub CI を通じて、この公開ソースコードから改変されずに提供されたことを証明します。ソースコードが無害であることを証明するものではありません — それは、あなたが読んでリビルドできる、オープンな MIT コードの役割です。

脆弱性を見つけましたか?

非公開で報告してください — セキュリティ上の不具合について、公開の Issue を作成しないでください。各リポジトリには、脅威モデルと協調的な開示の経路を記した SECURITY.md があり、GitHub の非公開脆弱性報告が有効になっています。私たちは報復せず、ご希望であればあなたをクレジットします。