Crie uma ferramenta. Torne-a parte do Strix.
O Strix é uma suíte, não um jardim murado. Se você criou uma ferramenta de privacidade ou segurança de código aberto que vive segundo as mesmas regras — off-line por padrão, zero telemetria, genuinamente auditável — você pode propô-la. Assim que ela passa pela mesma revisão de segurança e pelo mesmo processo de reforço por que passa cada ferramenta do Strix, ela é lançada sob o guarda-chuva do Strix: seu próprio repositório, uma página neste site em 13 idiomas e versões com somas de verificação e atestado.
Última atualização
Como funciona
Quatro passos do seu repositório até uma ferramenta Strix lançada — e você mantém a autoria e os direitos autorais o tempo todo.
- 01
Crie sua ferramenta
Escreva-a em qualquer linguagem, para Windows e/ou Linux, sob uma licença compatível com a MIT. Atenda aos critérios abaixo: off-line, sem telemetria, uma única tarefa bem-feita.
- 02
Abra uma proposta
Registre uma issue de proposta no GitHub com um link para o seu repositório, o que ela faz, as plataformas que ela atende e como ela toca a rede — se é que toca. Não é preciso ter conta conosco; basta o GitHub.
- 03
Revisão de segurança e reforço
Aplicamos o mesmo crivo que cada ferramenta do Strix passou: análise estática, uma auditoria de dependências e da cadeia de suprimentos, uma revisão de código adversarial e um processo de reforço. Você recebe os achados e nós os resolvemos juntos.
- 04
Ela é lançada como Strix
Na aceitação, sua ferramenta ganha o próprio repositório sob a organização Strix, uma landing page localizada neste site e versões com somas de verificação SHA-256 e um atestado de proveniência de build.
O que uma ferramenta Strix precisa ser
Estes requisitos são inegociáveis — são as promessas sobre as quais toda a suíte é construída. Se a sua ferramenta já vive segundo eles, ela vai se sentir em casa.
Código aberto
Código-fonte público sob a licença MIT (ou uma licença permissiva compatível com a MIT). Nada escondido, nada ofuscado.
Off-line por padrão
Nenhuma chamada de rede própria para uma ferramenta de desktop. Se a rede for a razão de ser da ferramenta (recon/OSINT), ela precisa ser sem chaves, condicionada ao consentimento e com escopo claramente definido.
Zero telemetria
Nenhum SDK de análise, nenhuma comunicação oculta, nenhuma conta. Os dados do usuário nunca saem da máquina dele.
Uma tarefa, bem-feita
Um utilitário objetivo com padrões sensatos, um escopo claro e uma declaração explícita do que ele deliberadamente não faz.
Documentada e testável
Um README, um SECURITY.md com um modelo de ameaças e testes de regressão para tudo que for crítico para a segurança.
Privilégio mínimo
Sem chamadas a shell, sem execução de código dinâmico, chamadas de subprocesso apenas por argv, resolução de ferramentas por caminho absoluto e elevação de privilégios apenas onde for genuinamente necessária.
A revisão de segurança por que passa cada proposta
O mesmo crivo que as ferramentas existentes superaram antes do lançamento. Nada é lançado enquanto não passar.
- Análise estática (SAST)semgrep, bandit, PSScriptAnalyzer, os analisadores Roslyn e os linters apropriados para cada linguagem, em todo o código-fonte.
- Auditoria de dependências e da cadeia de suprimentosVersões fixadas, um SBOM, pip-audit / Dependabot e uma verificação de que cada dependência de terceiros se justifica.
- Revisão de código adversarialUma revisão humana à caça de injeção, path traversal, SSRF, escalonamento de privilégios e qualquer enfraquecimento de um controle de segurança.
- ReforçoFechamos as brechas juntos: privilégio mínimo, sem shell, validação de entrada, padrões fail-closed e defesa em profundidade nos caminhos perigosos.
- Proveniência em cada versãoA CI compila cada versão, grava um SHA256SUMS SHA-256 e anexa um atestado de proveniência de build SLSA, de modo que cada download é verificável.
O que você mantém — e o que você ganha
Contribuir para o Strix não significa abrir mão do seu trabalho.
Sua autoria e seus direitos autorais
Você continua sendo o autor. Os direitos autorais MIT são seus; o Strix o distribui e o comantém junto com você.
Um público de verdade
Uma landing page localizada em 13 idiomas, a estrutura de SEO/GEO e um lugar na grade de ferramentas e nos downloads.
Um pipeline de lançamento confiável
Somas de verificação, atestado, um eventual caminho de assinatura de código (SignPath Foundation) e um processo de divulgação de segurança — montados para você.
Comanutenção
Issues, PRs e relatos de segurança seguem o mesmo processo do restante da suíte. Você não fica por conta própria.
Pronto para enviar?
Abra uma issue de proposta com o link do seu repositório e uma breve descrição. Nós a acolheremos, faremos a revisão e trabalharemos com você a partir daí. Ainda não está pronto? Leia primeiro o guia completo de contribuição.
Para enviar, basta uma conta do GitHub. Não há taxa, nenhum acordo de contribuidor que tome seus direitos e nenhuma obrigação — você pode desistir a qualquer momento antes do lançamento.
FAQ
Eu perco a propriedade da minha ferramenta?
Não. Você mantém a autoria e os direitos autorais MIT. O Strix a comantém e a distribui junto com você, e você pode desistir antes do lançamento.
Quais linguagens ou frameworks são permitidos?
Qualquer um. A suíte existente abrange Python, C#, PowerShell e mais — o que importa é a licença, as regras de off-line/sem telemetria e a aprovação na revisão de segurança, não a tecnologia.
E se minha ferramenta precisar da rede?
Tudo bem, mas somente se a rede for a sua verdadeira finalidade (como nas ferramentas de recon/OSINT). Nesse caso, ela precisa ser sem chaves, condicionada a um consentimento explícito, com escopo claramente definido e de uso autorizado apenas — nunca tráfego silencioso ou em segundo plano.
Quanto tempo leva a revisão?
Depende do tamanho da ferramenta e de quantos achados aparecem. Ferramentas pequenas e já reforçadas avançam rápido; qualquer coisa que toque operações destrutivas ou elevação de privilégios recebe um escrutínio extra.
O que acontece se ela não passar?
Você recebe os achados completos e pode corrigi-los e enviar de novo. Uma revisão que encontra problemas é o processo funcionando — o mesmo aconteceu com as ferramentas que já estão na suíte.