도구를 만드세요. 그리고 Strix의 일부로 만드세요.
Strix는 담장으로 둘러싸인 정원이 아니라 하나의 제품군입니다. 여러분이 같은 원칙 — 기본적으로 오프라인, 텔레메트리 제로, 진정으로 감사 가능 — 을 따르는 오픈 소스 프라이버시 또는 보안 도구를 만들었다면, 그것을 제안할 수 있습니다. 모든 Strix 도구가 거치는 것과 동일한 보안 검토와 견고화 과정을 통과하면, 그 도구는 Strix라는 이름 아래 출시됩니다: 자체 저장소, 이 사이트의 13개 언어 페이지, 그리고 체크섬과 증명이 담긴 릴리스와 함께.
마지막 업데이트
진행 방식
여러분의 저장소에서 출시된 Strix 도구가 되기까지 네 단계 — 그리고 그 전 과정 내내 저작자로서의 지위와 저작권은 여러분의 것으로 남습니다.
- 01
도구를 만드세요
어떤 언어로든, Windows 및/또는 Linux를 위해, MIT 호환 라이선스로 작성하세요. 아래 기준을 충족하세요: 오프라인, 텔레메트리 없음, 한 가지 일을 제대로.
- 02
제출을 시작하세요
GitHub에 제출 이슈를 열고 저장소 링크, 하는 일, 대상 플랫폼, 그리고 — 있다면 — 네트워크에 어떻게 접근하는지를 적어 주세요. 저희 계정은 필요 없으며, GitHub 계정만 있으면 됩니다.
- 03
보안 검토 및 견고화
모든 Strix 도구가 통과한 것과 동일한 관문을 진행합니다: 정적 분석, 의존성 및 공급망 감사, 적대적 코드 검토, 그리고 견고화 과정입니다. 여러분은 발견 사항을 전달받고, 저희가 함께 하나씩 해결해 나갑니다.
- 04
Strix로 출시됩니다
승인되면 여러분의 도구는 Strix 조직 아래 자체 저장소, 이 사이트의 현지화된 랜딩 페이지, 그리고 SHA-256 체크섬과 빌드 출처 증명이 담긴 릴리스를 갖게 됩니다.
Strix 도구가 갖추어야 할 조건
이것들은 타협할 수 없습니다 — 제품군 전체가 그 위에 세워진 약속이기 때문입니다. 여러분의 도구가 이미 이 원칙에 따라 살고 있다면, 아주 자연스럽게 어울릴 것입니다.
오픈 소스
MIT 라이선스(또는 MIT 호환 관대 라이선스) 하의 공개 소스. 숨긴 것도, 난독화한 것도 없습니다.
기본적으로 오프라인
데스크톱 도구라면 자체 네트워크 호출이 전혀 없어야 합니다. 네트워크가 그 도구의 목적 자체라면(정찰/OSINT), 키가 없어야 하고, 동의를 거쳐야 하며, 범위가 명확히 한정되어야 합니다.
텔레메트리 제로
분석 SDK 없음, 몰래 하는 통신 없음, 계정 없음. 사용자의 데이터는 그들의 기기를 절대 벗어나지 않습니다.
한 가지 일을, 제대로
합리적인 기본값, 명확한 범위, 그리고 의도적으로 하지 않는 것에 대한 분명한 설명을 갖춘, 목적이 뚜렷한 유틸리티.
문서화되고 테스트 가능
README, 위협 모델을 담은 SECURITY.md, 그리고 안전에 중요한 모든 부분에 대한 회귀 테스트.
최소 권한
셸 호출 없음, 동적 코드 실행 없음, 서브프로세스 호출은 argv만 사용, 도구는 절대 경로로 해석, 권한 상승은 정말로 필요한 곳에서만.
모든 제출이 거치는 보안 검토
기존 도구들이 출시 전에 통과한 것과 동일한 관문입니다. 통과하기 전에는 어떤 것도 출시되지 않습니다.
- 정적 분석 (SAST)코드베이스 전체에 걸친 semgrep, bandit, PSScriptAnalyzer, Roslyn 분석기, 그리고 언어에 맞는 linter.
- 의존성 및 공급망 감사고정된 버전, SBOM, pip-audit / Dependabot, 그리고 모든 서드파티 의존성이 정당한지에 대한 확인.
- 적대적 코드 검토주입, 경로 탐색, SSRF, 권한 상승, 그리고 안전 통제를 약화시키는 모든 지점을 찾아내는 사람의 검토.
- 견고화함께 빈틈을 메웁니다: 최소 권한, 셸 없음, 입력 검증, 실패 시 닫힘(fail-closed) 기본값, 그리고 위험한 경로에 대한 심층 방어.
- 모든 릴리스에 출처를CI가 각 릴리스를 빌드하고, SHA-256 SHA256SUMS를 생성하며, SLSA 빌드 출처 증명을 첨부하므로, 모든 다운로드를 검증할 수 있습니다.
여러분이 지키는 것 — 그리고 얻는 것
Strix에 기여한다고 해서 여러분의 작업을 넘겨주는 것은 아닙니다.
여러분의 저작자 지위와 저작권
여러분은 저작자로 남습니다. MIT 저작권은 여러분의 것이며, Strix는 여러분과 함께 그것을 배포하고 공동으로 유지 관리합니다.
진짜 사용자층
13개 언어로 현지화된 랜딩 페이지, SEO/GEO 정비, 그리고 도구 그리드와 다운로드 안에서의 자리.
신뢰할 수 있는 릴리스 파이프라인
체크섬, 증명, 언젠가 갖춰질 코드 서명 경로(SignPath Foundation), 그리고 보안 공개 절차 — 여러분을 위해 마련해 드립니다.
공동 유지 관리
이슈, PR, 보안 신고는 제품군의 나머지와 동일한 절차를 따릅니다. 여러분 혼자가 아닙니다.
제출할 준비가 되셨나요?
저장소 링크와 짧은 설명을 담아 제출 이슈를 열어 주세요. 저희가 이를 받아 검토를 진행하고, 그때부터 여러분과 함께 작업합니다. 아직 준비되지 않으셨나요? 먼저 전체 기여 가이드를 읽어 보세요.
제출에는 GitHub 계정만 있으면 됩니다. 비용도, 여러분의 권리를 앗아 가는 기여자 약정도, 어떤 의무도 없습니다 — 출시 전이라면 언제든 철회할 수 있습니다.
FAQ
제 도구의 소유권을 잃게 되나요?
아니요. 저작자 지위와 MIT 저작권은 여러분의 것입니다. Strix는 여러분과 함께 공동으로 유지 관리하고 배포하며, 출시 전이라면 철회할 수 있습니다.
어떤 언어나 프레임워크가 허용되나요?
무엇이든 됩니다. 기존 제품군은 Python, C#, PowerShell 등에 걸쳐 있습니다 — 중요한 것은 라이선스, 오프라인/텔레메트리 없음 원칙, 그리고 보안 검토 통과이지 기술 스택이 아닙니다.
제 도구가 네트워크를 필요로 하면 어떻게 되나요?
네트워크가 실제 목적인 경우(정찰/OSINT 도구처럼)에만 괜찮습니다. 그럴 때는 키가 없어야 하고, 명시적 동의를 거쳐야 하며, 범위가 명확히 한정되고, 승인된 용도 전용이어야 합니다 — 결코 은밀하거나 백그라운드의 트래픽이어서는 안 됩니다.
검토에는 얼마나 걸리나요?
도구의 규모와 드러나는 발견 사항의 수에 따라 다릅니다. 작고 이미 견고화된 도구는 빠르게 진행됩니다. 파괴적인 작업이나 권한 상승에 관여하는 것은 추가적인 정밀 검토를 받습니다.
통과하지 못하면 어떻게 되나요?
전체 발견 사항을 전달받아, 그것들을 해결한 뒤 다시 제출할 수 있습니다. 문제를 찾아내는 검토는 이 절차가 제대로 작동하고 있다는 뜻입니다 — 이미 제품군에 있는 도구들에도 같은 일이 있었습니다.