Strix Advanced Tools
PL
Otwarte na narzędzia społeczności

Zbuduj narzędzie. Uczyń je częścią Strix.

Strix to pakiet, a nie zamknięty ogród. Jeśli zbudowałeś otwartoźródłowe narzędzie do ochrony prywatności lub bezpieczeństwa, które żyje według tych samych reguł — domyślnie offline, zero telemetrii, naprawdę audytowalne — możesz je zaproponować. Gdy przejdzie tę samą recenzję bezpieczeństwa i to samo utwardzanie, przez które przechodzi każde narzędzie Strix, zostaje wydane pod szyldem Strix: z własnym repozytorium, stroną na tej witrynie w 13 językach oraz wydaniami z sumami kontrolnymi i atestacją.

Ostatnia aktualizacja

Jak to działa

Cztery kroki od Twojego repozytorium do wydanego narzędzia Strix — a autorstwo i prawa autorskie zachowujesz przez całą drogę.

  1. 01

    Zbuduj swoje narzędzie

    Napisz je w dowolnym języku, dla systemu Windows i/lub Linux, na licencji zgodnej z MIT. Spełnij poniższe kryteria: offline, bez telemetrii, jedno zadanie wykonane dobrze.

  2. 02

    Otwórz zgłoszenie

    Załóż zgłoszenie (issue) na GitHub z odnośnikiem do swojego repozytorium, opisem tego, co robi, docelowymi platformami oraz tym, jak korzysta z sieci — jeśli w ogóle. Nie potrzebujesz konta u nas; wystarczy GitHub.

  3. 03

    Recenzja bezpieczeństwa i utwardzanie

    Stosujemy tę samą bramkę, którą przeszło każde narzędzie Strix: analizę statyczną, audyt zależności i łańcucha dostaw, przeciwstawną recenzję kodu oraz utwardzanie. Otrzymujesz wyniki, a my wspólnie je przepracowujemy.

  4. 04

    Zostaje wydane jako Strix

    Po akceptacji Twoje narzędzie otrzymuje własne repozytorium w organizacji Strix, zlokalizowaną stronę docelową na tej witrynie oraz wydania z sumami kontrolnymi SHA-256 i atestacją pochodzenia kompilacji.

Czym musi być narzędzie Strix

Te wymagania nie podlegają negocjacjom — to obietnice, na których zbudowany jest cały pakiet. Jeśli Twoje narzędzie już według nich żyje, poczuje się jak u siebie.

Otwartoźródłowe

Publiczny kod źródłowy na licencji MIT (lub permisywnej licencji zgodnej z MIT). Nic ukrytego, nic zaciemnionego.

Domyślnie offline

Żadnych własnych połączeń sieciowych w przypadku narzędzia desktopowego. Jeśli całym zadaniem narzędzia jest sieć (recon/OSINT), musi ono działać bez kluczy, być obwarowane zgodą i mieć jasno określony zakres.

Zero telemetrii

Żadnych SDK analitycznych, żadnego łączenia z zewnętrznymi serwerami, żadnych kont. Dane użytkownika nigdy nie opuszczają jego maszyny.

Jedno zadanie, wykonane dobrze

Wyspecjalizowane narzędzie z rozsądnymi ustawieniami domyślnymi, jasnym zakresem i wyraźnym określeniem tego, czego celowo nie robi.

Udokumentowane i testowalne

Plik README, plik SECURITY.md z modelem zagrożeń oraz testy regresji dla wszystkiego, co jest krytyczne dla bezpieczeństwa.

Zasada najmniejszych uprawnień

Bez wywołań powłoki, bez dynamicznego wykonywania kodu, wywołania podprocesów wyłącznie przez argv, rozwiązywanie ścieżek narzędzi przez ścieżkę bezwzględną oraz podnoszenie uprawnień tylko tam, gdzie jest to naprawdę konieczne.

Recenzja bezpieczeństwa, przez którą przechodzi każde zgłoszenie

Ta sama bramka, którą istniejące narzędzia przeszły przed premierą. Nic nie zostaje wydane, dopóki jej nie przejdzie.

Co zachowujesz — i co zyskujesz

Wniesienie wkładu do Strix nie oznacza zrzeczenia się swojej pracy.

Swoje autorstwo i prawa autorskie

Pozostajesz autorem. Prawa autorskie MIT należą do Ciebie; Strix dystrybuuje narzędzie i współutrzymuje je razem z Tobą.

Prawdziwych odbiorców

Zlokalizowaną stronę docelową w 13 językach, integrację SEO/GEO oraz miejsce w siatce narzędzi i sekcji pobierania.

Zaufany potok wydawniczy

Sumy kontrolne, atestację, docelową ścieżkę podpisywania kodu (SignPath Foundation) oraz proces ujawniania kwestii bezpieczeństwa — przygotowane za Ciebie.

Współutrzymanie

Zgłoszenia, pull requesty i raporty bezpieczeństwa przechodzą przez ten sam proces co reszta pakietu. Nie jesteś zdany na siebie.

Gotowy, aby zgłosić?

Otwórz zgłoszenie z odnośnikiem do swojego repozytorium i krótkim opisem. Zajmiemy się nim, przeprowadzimy recenzję i od tego momentu będziemy z Tobą współpracować. Jeszcze nie gotowy? Przeczytaj najpierw pełny przewodnik dla współtwórców.

Do zgłoszenia potrzebne jest tylko konto GitHub. Nie ma żadnej opłaty, żadnej umowy dla współtwórców odbierającej Ci prawa ani żadnego zobowiązania — możesz się wycofać w dowolnym momencie przed wydaniem.

FAQ

Czy tracę własność swojego narzędzia?

Nie. Zachowujesz autorstwo i prawa autorskie MIT. Strix współutrzymuje je i dystrybuuje razem z Tobą, a Ty możesz się wycofać przed wydaniem.

Jakie języki lub frameworki są dozwolone?

Dowolne. Istniejący pakiet obejmuje Python, C#, PowerShell i inne — liczy się licencja, reguły offline/bez telemetrii oraz przejście recenzji bezpieczeństwa, a nie użyta technologia.

Co, jeśli moje narzędzie potrzebuje sieci?

To w porządku, ale tylko wtedy, gdy sieć jest jego faktycznym przeznaczeniem (jak w przypadku narzędzi recon/OSINT). Musi ono wówczas działać bez kluczy, być obwarowane wyraźną zgodą, mieć jasno określony zakres i być przeznaczone wyłącznie do autoryzowanego użytku — nigdy cichy ruch ani ruch w tle.

Ile trwa recenzja?

To zależy od wielkości narzędzia i od tego, ile problemów się ujawni. Małe, już utwardzone narzędzia przechodzą szybko; wszystko, co dotyka destrukcyjnych operacji lub podnoszenia uprawnień, otrzymuje dodatkowy nadzór.

Co się stanie, jeśli nie przejdzie?

Otrzymujesz pełne wyniki, możesz je usunąć i zgłosić narzędzie ponownie. Recenzja, która znajduje problemy, to dowód, że proces działa — to samo spotkało narzędzia już obecne w pakiecie.