Zbuduj narzędzie. Uczyń je częścią Strix.
Strix to pakiet, a nie zamknięty ogród. Jeśli zbudowałeś otwartoźródłowe narzędzie do ochrony prywatności lub bezpieczeństwa, które żyje według tych samych reguł — domyślnie offline, zero telemetrii, naprawdę audytowalne — możesz je zaproponować. Gdy przejdzie tę samą recenzję bezpieczeństwa i to samo utwardzanie, przez które przechodzi każde narzędzie Strix, zostaje wydane pod szyldem Strix: z własnym repozytorium, stroną na tej witrynie w 13 językach oraz wydaniami z sumami kontrolnymi i atestacją.
Ostatnia aktualizacja
Jak to działa
Cztery kroki od Twojego repozytorium do wydanego narzędzia Strix — a autorstwo i prawa autorskie zachowujesz przez całą drogę.
- 01
Zbuduj swoje narzędzie
Napisz je w dowolnym języku, dla systemu Windows i/lub Linux, na licencji zgodnej z MIT. Spełnij poniższe kryteria: offline, bez telemetrii, jedno zadanie wykonane dobrze.
- 02
Otwórz zgłoszenie
Załóż zgłoszenie (issue) na GitHub z odnośnikiem do swojego repozytorium, opisem tego, co robi, docelowymi platformami oraz tym, jak korzysta z sieci — jeśli w ogóle. Nie potrzebujesz konta u nas; wystarczy GitHub.
- 03
Recenzja bezpieczeństwa i utwardzanie
Stosujemy tę samą bramkę, którą przeszło każde narzędzie Strix: analizę statyczną, audyt zależności i łańcucha dostaw, przeciwstawną recenzję kodu oraz utwardzanie. Otrzymujesz wyniki, a my wspólnie je przepracowujemy.
- 04
Zostaje wydane jako Strix
Po akceptacji Twoje narzędzie otrzymuje własne repozytorium w organizacji Strix, zlokalizowaną stronę docelową na tej witrynie oraz wydania z sumami kontrolnymi SHA-256 i atestacją pochodzenia kompilacji.
Czym musi być narzędzie Strix
Te wymagania nie podlegają negocjacjom — to obietnice, na których zbudowany jest cały pakiet. Jeśli Twoje narzędzie już według nich żyje, poczuje się jak u siebie.
Otwartoźródłowe
Publiczny kod źródłowy na licencji MIT (lub permisywnej licencji zgodnej z MIT). Nic ukrytego, nic zaciemnionego.
Domyślnie offline
Żadnych własnych połączeń sieciowych w przypadku narzędzia desktopowego. Jeśli całym zadaniem narzędzia jest sieć (recon/OSINT), musi ono działać bez kluczy, być obwarowane zgodą i mieć jasno określony zakres.
Zero telemetrii
Żadnych SDK analitycznych, żadnego łączenia z zewnętrznymi serwerami, żadnych kont. Dane użytkownika nigdy nie opuszczają jego maszyny.
Jedno zadanie, wykonane dobrze
Wyspecjalizowane narzędzie z rozsądnymi ustawieniami domyślnymi, jasnym zakresem i wyraźnym określeniem tego, czego celowo nie robi.
Udokumentowane i testowalne
Plik README, plik SECURITY.md z modelem zagrożeń oraz testy regresji dla wszystkiego, co jest krytyczne dla bezpieczeństwa.
Zasada najmniejszych uprawnień
Bez wywołań powłoki, bez dynamicznego wykonywania kodu, wywołania podprocesów wyłącznie przez argv, rozwiązywanie ścieżek narzędzi przez ścieżkę bezwzględną oraz podnoszenie uprawnień tylko tam, gdzie jest to naprawdę konieczne.
Recenzja bezpieczeństwa, przez którą przechodzi każde zgłoszenie
Ta sama bramka, którą istniejące narzędzia przeszły przed premierą. Nic nie zostaje wydane, dopóki jej nie przejdzie.
- Analiza statyczna (SAST)semgrep, bandit, PSScriptAnalyzer, analizatory Roslyn oraz lintery odpowiednie dla danego języka w całym kodzie źródłowym.
- Audyt zależności i łańcucha dostawPrzypięte wersje, SBOM, pip-audit / Dependabot oraz sprawdzenie, że każda zależność od podmiotów trzecich jest uzasadniona.
- Przeciwstawna recenzja koduRecenzja wykonywana przez człowieka, polująca na wstrzyknięcia, path traversal, SSRF, eskalację uprawnień i wszelkie osłabienie mechanizmu bezpieczeństwa.
- UtwardzanieWspólnie zamykamy luki: zasada najmniejszych uprawnień, bez powłoki, walidacja danych wejściowych, domyślne ustawienia fail-closed i obrona w głąb na niebezpiecznych ścieżkach.
- Pochodzenie przy każdym wydaniuCI kompiluje każde wydanie, zapisuje plik SHA256SUMS z sumami SHA-256 i dołącza atestację pochodzenia kompilacji SLSA, dzięki czemu każde pobranie jest weryfikowalne.
Co zachowujesz — i co zyskujesz
Wniesienie wkładu do Strix nie oznacza zrzeczenia się swojej pracy.
Swoje autorstwo i prawa autorskie
Pozostajesz autorem. Prawa autorskie MIT należą do Ciebie; Strix dystrybuuje narzędzie i współutrzymuje je razem z Tobą.
Prawdziwych odbiorców
Zlokalizowaną stronę docelową w 13 językach, integrację SEO/GEO oraz miejsce w siatce narzędzi i sekcji pobierania.
Zaufany potok wydawniczy
Sumy kontrolne, atestację, docelową ścieżkę podpisywania kodu (SignPath Foundation) oraz proces ujawniania kwestii bezpieczeństwa — przygotowane za Ciebie.
Współutrzymanie
Zgłoszenia, pull requesty i raporty bezpieczeństwa przechodzą przez ten sam proces co reszta pakietu. Nie jesteś zdany na siebie.
Gotowy, aby zgłosić?
Otwórz zgłoszenie z odnośnikiem do swojego repozytorium i krótkim opisem. Zajmiemy się nim, przeprowadzimy recenzję i od tego momentu będziemy z Tobą współpracować. Jeszcze nie gotowy? Przeczytaj najpierw pełny przewodnik dla współtwórców.
Do zgłoszenia potrzebne jest tylko konto GitHub. Nie ma żadnej opłaty, żadnej umowy dla współtwórców odbierającej Ci prawa ani żadnego zobowiązania — możesz się wycofać w dowolnym momencie przed wydaniem.
FAQ
Czy tracę własność swojego narzędzia?
Nie. Zachowujesz autorstwo i prawa autorskie MIT. Strix współutrzymuje je i dystrybuuje razem z Tobą, a Ty możesz się wycofać przed wydaniem.
Jakie języki lub frameworki są dozwolone?
Dowolne. Istniejący pakiet obejmuje Python, C#, PowerShell i inne — liczy się licencja, reguły offline/bez telemetrii oraz przejście recenzji bezpieczeństwa, a nie użyta technologia.
Co, jeśli moje narzędzie potrzebuje sieci?
To w porządku, ale tylko wtedy, gdy sieć jest jego faktycznym przeznaczeniem (jak w przypadku narzędzi recon/OSINT). Musi ono wówczas działać bez kluczy, być obwarowane wyraźną zgodą, mieć jasno określony zakres i być przeznaczone wyłącznie do autoryzowanego użytku — nigdy cichy ruch ani ruch w tle.
Ile trwa recenzja?
To zależy od wielkości narzędzia i od tego, ile problemów się ujawni. Małe, już utwardzone narzędzia przechodzą szybko; wszystko, co dotyka destrukcyjnych operacji lub podnoszenia uprawnień, otrzymuje dodatkowy nadzór.
Co się stanie, jeśli nie przejdzie?
Otrzymujesz pełne wyniki, możesz je usunąć i zgłosić narzędzie ponownie. Recenzja, która znajduje problemy, to dowód, że proces działa — to samo spotkało narzędzia już obecne w pakiecie.