Strix Advanced Tools는 무료이며 오픈 소스(MIT)이고, 완전히 오프라인으로 작동하도록 만들어졌습니다. 저희의 Windows 빌드는 아직 유료 인증서로 코드 서명되지 않았습니다 — 저희는 작고 독립적이며 예산이 전혀 없는 프로젝트이며, 이를 숨기기보다 솔직히 밝히고자 합니다. 모든 도구가 오픈 소스이므로, 여러분은 무엇도 저희 말만 믿을 필요가 없습니다. 다음은 직접 확인하는 방법입니다.
마지막 업데이트
📖
소스가 공개되어 있습니다
모든 도구는 MIT 라이선스의 공개 GitHub 저장소입니다. 모든 코드를 읽고, 직접 다시 빌드하여, 도구가 주장하는 그대로 작동하는지 확인하세요.
🔗
빌드가 증명되어 있습니다
각 릴리스에는 GitHub 빌드 출처 증명(SLSA Build L2)이 포함됩니다 — 파일이 이 소스로부터 GitHub의 서버에서 빌드되었고 이후 변경되지 않았다는 암호학적 증거입니다.
✈️
어떤 것도 몰래 통신하지 않습니다
데스크톱 도구는 네트워크 호출을 전혀 하지 않습니다. 네트워크 케이블을 뽑아도 여전히 작동하고, 아웃바운드 트래픽을 지켜봐도 아무것도 보이지 않습니다.
다운로드 검증
검증은 선택 사항입니다 — GitHub 릴리스에서 다운로드했다면 이미 문제없습니다. 하지만 확실히 하고 싶다면, 모든 릴리스에 SHA256SUMS 파일이 함께 제공되며, 다음은 그것과 대조하는 방법입니다. 예시 파일 이름을 여러분이 다운로드한 도구로 바꾸세요.
여러분이 명시적으로 실행하는 키 없는 공개 API만 사용하며, 동의 절차를 거친 뒤 시간 제한으로 제약됩니다.
백신 및 SmartScreen 경고
저희의 Windows 앱은 서명되지 않았고 PyInstaller로 패키징되었기 때문에, Windows SmartScreen이 “알 수 없는 게시자” or “자주 다운로드되지 않음,” 라고 표시할 수 있으며, 약 70개의 백신 엔진 중 소수가 설치 프로그램을 신고할 수 있습니다. 이는 새롭고 서명되지 않은 오픈 소스 소프트웨어에서 예상되는 일입니다 — 실제 악성코드를 탐지한 것이 아니라 앱이 패키징된 방식에 대한 일반적인 휴리스틱입니다.
왜 이런 일이 생기나: PyInstaller 부트로더는 흔한 패키징 형식이고(악성코드도 이를 사용합니다), 갓 만들어진 파일에는 다운로드 평판이 없으며, 서명되지 않은 바이너리에는 "입증될 때까지 의심스러움"이라는 불이익이 부과됩니다.
진짜 증거는 위의 체크섬과 출처 증명, 그리고 여러분이 읽을 수 있는 소스입니다 — 어떤 벤더의 휴리스틱이 아닙니다.
저희가 하는 일: 오탐이 나타나는 대로 벤더에 신고하고 있으며, 오픈 소스 프로젝트를 위한 SignPath Foundation의 무료 코드 서명 프로그램에 신청하고 있고, 평판이 쌓이는 대로 이를 도입할 예정입니다.
백신 프로그램을 절대 비활성화하지 마세요. 확신이 서지 않으면 체크섬을 검증하거나 소스에서 도구를 실행하세요.
릴리스가 나오면 빌드마다 실시간 VirusTotal 스캔 링크를 제공하여, 여러분이 현재 결과를 직접 확인할 수 있게 합니다. 저희는 "깨끗한 스캔" 스크린샷을 게시하거나 "탐지 없음"을 주장하는 일이 결코 없습니다 — 클릭할 수 있는 실시간 링크가 다음 빌드에서 낡아버리는 스크린샷보다 낫습니다.
소스를 읽으세요
무엇보다 강력한 보증입니다. 어떤 저장소든 socket, urllib, requests, http 를 grep 하여 무엇이 네트워크에 접근하는지 — 그리고 접근하지 않는지 — 직접 확인하세요.
파일 메타데이터를 통한 데이터 유출, 폐기된 드라이브에서 복구 가능한 데이터, 추적기/텔레메트리/광고 도메인, 은밀한 아웃바운드 연결, 알 수 없는 자동 시작 항목과 기기, 그리고 여러분이 검사할 수 없는 비공개 소스 도구.
Strix가 아닌 것
백신/EDR도, 샌드박스도, 이미 침해된 OS나 관리자 권한으로 실행 중인 악성코드에 대한 방어책도 아닙니다. 데스크톱 도구는 정보를 드러내고 여러분의 명령에 따라 작동합니다. 실시간으로 능동적인 위협에 맞서 싸우지는 않습니다.
신뢰 경계
출처 증명은 다운로드가 GitHub CI를 통해 이 공개 소스로부터 변경 없이 왔음을 증명합니다. 소스가 무해하다는 것을 증명하지는 않습니다 — 그것은 여러분이 읽고 다시 빌드할 수 있는 공개된 MIT 코드가 하는 역할입니다.
취약점을 발견하셨나요?
비공개로 신고해 주세요 — 보안 버그에 대해서는 공개 이슈를 열지 말아 주세요. 각 저장소에는 위협 모델과 협력적 공개 경로를 담은 SECURITY.md가 있으며, GitHub 비공개 취약점 신고가 활성화되어 있습니다. 저희는 보복하지 않으며, 원하신다면 공로를 표기해 드립니다.