Narzędzia Strix Advanced Tools są darmowe, otwartoźródłowe (MIT) i zaprojektowane tak, aby działać w pełni offline. Nasze kompilacje dla systemu Windows nie są jeszcze podpisane cyfrowo płatnym certyfikatem — jesteśmy małym, niezależnym projektem bez budżetu i wolimy powiedzieć to wprost, niż to ukrywać. Ponieważ każde narzędzie jest open source, nie musisz wierzyć nam na słowo w żadnej sprawie. Oto jak sprawdzić to samodzielnie.
Ostatnia aktualizacja
📖
Kod źródłowy jest publiczny
Każde narzędzie to publiczne repozytorium GitHub na licencji MIT. Przeczytaj każdą linię, skompiluj je samodzielnie i potwierdź, że robi dokładnie to, co deklaruje.
🔗
Kompilacje są poświadczone
Każde wydanie zawiera atestację pochodzenia kompilacji GitHub (SLSA Build L2) — kryptograficzny dowód, że plik został skompilowany z tego kodu źródłowego, na serwerach GitHub, i od tego czasu nie był modyfikowany.
✈️
Nic nie łączy się z zewnętrznymi serwerami
Narzędzia desktopowe nie wykonują żadnych połączeń sieciowych. Odłącz kabel sieciowy, a nadal będą działać; obserwuj ruch wychodzący, a nie zobaczysz żadnego.
Zweryfikuj pobrany plik
Weryfikacja jest opcjonalna — jeśli pobrałeś plik z wydania na GitHub, wszystko jest już w porządku. Ale jeśli chcesz mieć pewność, każde wydanie zawiera plik SHA256SUMS i oto jak go z nim skonfrontować. Zastąp przykładową nazwę pliku nazwą narzędzia, które pobrałeś.
🪟 WindowsSprawdź sumę kontrolną
W folderze, w którym zapisałeś pobrany plik, uruchom PowerShell:
Porównaj wyświetlony skrót z odpowiadającą mu linią w pliku SHA256SUMS. Jeśli są identyczne, plik jest bajt w bajt tym, co opublikowaliśmy:
Algorithm Hash Path
--------- ---- ----
SHA256 3F2A… (compare this to the value in SHA256SUMS) …\Strix-Inspector-Setup.exe
🐧 LinuxSprawdź sumę kontrolną
Umieść pobrany plik i jego plik SHA256SUMS w tym samym folderze, a następnie:
sha256sum -c SHA256SUMS
Jednowyrazowa odpowiedź dla każdego pliku — oczekujesz OK:
Strix-Inspector-Setup.exe: OK
🔗 Dowolny system operacyjnyZweryfikuj pochodzenie kompilacji
Silniejsze niż suma kontrolna: udowodnij, że plik binarny został skompilowany z naszego publicznego kodu źródłowego w naszym publicznym CI. Wymaga GitHub CLI 2.49+: GitHub CLI
Sumy kontrolne są publikowane w każdym wydaniu GitHub Release i powielane przez HTTPS — przykładowy plik SHA256SUMS. Atestacja pochodzenia jest przechowywana na GitHub, a nie przez nas, więc ani my, ani przejęte lustro pobierania nie możemy jej sfałszować. SHA256SUMS
Jakie dane opuszczają Twoją maszynę
Krótka wersja: w przypadku narzędzi desktopowych — żadne. Oto pełna wersja — a każdy wiersz możesz potwierdzić przechwyceniem pakietów.
Kategoria
Co to jest
Dokąd trafia
Pliki, które przetwarzasz
Metadane, zawartość dysków, archiwa — odczytywane i zapisywane na miejscu, na Twojej maszynie.
Nigdy nie są wysyłane. Nic nie jest nigdzie przesyłane.
Szczegóły Twojego systemu
Nazwa hosta, nazwa użytkownika, numery seryjne, adresy IP, sprzęt — wyświetlane wyłącznie w aplikacji.
Wyświetlane lokalnie; nigdy nie przesyłane.
Ustawienia i raporty
Preferencje, dzienniki, raporty HTML/PDF.
Zapisywane na dysku (%LOCALAPPDATA% / ~/.config); nigdy nie synchronizowane z serwerem.
Statystyki użycia i awarii
Żadne. Nie ma żadnego SDK analitycznego, żadnej telemetrii, żadnego łączenia z zewnętrznymi serwerami.
Zero gniazd wychodzących. Odłącz sieć — nadal działają.
Ruch wychodzący (narzędzia do rozpoznania)
Vantage i Archer — których całym zadaniem jest sieć.
Wyłącznie publiczne API niewymagające kluczy, które uruchamiasz jawnie, po potwierdzeniu zgody, ograniczone limitami czasu.
Ostrzeżenia programu antywirusowego i SmartScreen
Ponieważ nasze aplikacje dla systemu Windows są niepodpisane i spakowane za pomocą PyInstaller, Windows SmartScreen może wyświetlić komunikat “nieznany wydawca” or “rzadko pobierany,” a garstka z około 70 silników antywirusowych może oznaczyć instalator. To normalne w przypadku nowego, niepodpisanego oprogramowania open source — jest to ogólna heurystyka dotycząca sposobu spakowania aplikacji, a nie wykrycie prawdziwego złośliwego oprogramowania.
Dlaczego tak się dzieje: bootloader PyInstaller to popularny format pakowania (używa go również złośliwe oprogramowanie), zupełnie nowy plik nie ma reputacji pobierania, a niepodpisane pliki binarne otrzymują karę „podejrzany, dopóki nie udowodni się inaczej”.
Prawdziwym dowodem jest suma kontrolna i atestacja pochodzenia powyżej, a także kod źródłowy, który możesz przeczytać — a nie heurystyka jakiegokolwiek dostawcy.
Co robimy: zgłaszamy dostawcom fałszywe alarmy w miarę ich pojawiania się, a także ubiegamy się o udział w darmowym programie podpisywania kodu Fundacji SignPath dla projektów open source, który wdrożymy w miarę budowania reputacji.
Prosimy, nigdy nie wyłączaj programu antywirusowego. Jeśli masz wątpliwości, zweryfikuj sumę kontrolną lub uruchom narzędzie z kodu źródłowego.
Dla każdej kompilacji udostępniamy odnośnik do bieżącego skanowania VirusTotal, gdy tylko ukaże się wydanie, abyś mógł samodzielnie zobaczyć aktualny wynik. Nigdy nie opublikujemy zrzutu ekranu z „czystym skanem” ani nie będziemy twierdzić o „zerowej liczbie wykryć” — działający odnośnik, w który możesz kliknąć, jest lepszy niż zrzut ekranu, który dezaktualizuje się przy następnej kompilacji.
Przeczytaj kod źródłowy
Najsilniejsza gwarancja ze wszystkich. Wykonaj grep w dowolnym repozytorium na socket, urllib, requests lub http i przekonaj się sam, co korzysta — a co nie — z sieci.
Wyciekiem danych przez metadane plików, danymi możliwymi do odzyskania z wyrzuconych dysków, domenami trackerów/telemetrii/reklam, cichymi połączeniami wychodzącymi, nieznanymi programami autostartu i urządzeniami oraz narzędziami o zamkniętym kodzie, których nie możesz zbadać.
Czym Strix NIE jest
Nie jest programem antywirusowym/EDR, piaskownicą ani obroną przed przejętym systemem operacyjnym lub złośliwym oprogramowaniem działającym już z uprawnieniami administratora. Narzędzia desktopowe ujawniają informacje i działają na Twoje polecenie; nie zwalczają aktywnych zagrożeń w czasie rzeczywistym.
Granica zaufania
Pochodzenie dowodzi, że pobrany plik pochodzi bez zmian z tego publicznego kodu źródłowego, za pośrednictwem CI GitHub. Nie dowodzi, że kod źródłowy jest nieszkodliwy — od tego jest otwarty kod na licencji MIT, który możesz przeczytać i skompilować ponownie.
Znalazłeś lukę w zabezpieczeniach?
Zgłoś ją prywatnie — prosimy, nie otwieraj publicznego zgłoszenia w sprawie błędu bezpieczeństwa. Każde repozytorium zawiera plik SECURITY.md z modelem zagrożeń i ścieżką skoordynowanego ujawniania, a prywatne zgłaszanie luk w zabezpieczeniach GitHub jest włączone. Nie zastosujemy żadnych represji i, jeśli zechcesz, wymienimy Cię z podziękowaniami.