Создайте инструмент. Сделайте его частью Strix.
Strix — это набор инструментов, а не огороженный сад. Если вы создали инструмент для приватности или безопасности с открытым исходным кодом, который живёт по тем же правилам — офлайн по умолчанию, ноль телеметрии, действительно поддающийся аудиту, — вы можете предложить его. Как только он пройдёт ту же проверку безопасности и этап укрепления, что и каждый инструмент Strix, он выходит под эгидой Strix: собственный репозиторий, страница на этом сайте на 13 языках и релизы с контрольными суммами и аттестацией.
Последнее обновление
Как это работает
Четыре шага от вашего репозитория до готового инструмента Strix — и вы сохраняете авторство и авторские права на всём пути.
- 01
Создайте свой инструмент
Напишите его на любом языке, для Windows и/или Linux, под совместимой с MIT лицензией. Соответствуйте приведённым ниже критериям: офлайн, без телеметрии, одно дело сделано хорошо.
- 02
Откройте заявку
Создайте задачу-заявку на GitHub со ссылкой на ваш репозиторий, описанием того, что он делает, целевых платформ и того, как он работает с сетью — если вообще работает. Учётная запись у нас не нужна; только GitHub.
- 03
Проверка безопасности и укрепление
Мы проводим ту же проверку, которую прошёл каждый инструмент Strix: статический анализ, аудит зависимостей и цепочки поставок, состязательный обзор кода и этап укрепления. Вы получаете результаты, и мы прорабатываем их вместе.
- 04
Он выходит как Strix
После принятия ваш инструмент получает собственный репозиторий в организации Strix, локализованную страницу на этом сайте и релизы с контрольными суммами SHA-256 и аттестацией происхождения сборки.
Каким должен быть инструмент Strix
Это условия, не подлежащие обсуждению, — на них построен весь набор. Если ваш инструмент уже живёт по ним, он сразу почувствует себя здесь как дома.
Открытый исходный код
Публичный исходный код под лицензией MIT (или совместимой с MIT разрешительной лицензией). Ничего скрытого, ничего обфусцированного.
Офлайн по умолчанию
Никаких собственных сетевых обращений для настольного инструмента. Если сеть — это всё предназначение инструмента (recon/OSINT), он должен быть без ключей, ограничен подтверждением согласия и чётко очерчен.
Ноль телеметрии
Никаких SDK аналитики, никаких «звонков домой», никаких учётных записей. Данные пользователя никогда не покидают его машину.
Одно дело, сделанное хорошо
Сфокусированная утилита с разумными настройками по умолчанию, чёткой областью применения и явным перечнем того, чего она намеренно не делает.
Документирован и тестируем
README, файл SECURITY.md с моделью угроз и регрессионные тесты для всего, что критично для безопасности.
Минимум привилегий
Никаких вызовов оболочки, никакого динамического выполнения кода, вызовы подпроцессов только через argv, разрешение путей к инструментам по абсолютным путям и повышение прав только там, где оно действительно необходимо.
Проверка безопасности, которую проходит каждая заявка
Та же проверка, которую прошли существующие инструменты перед запуском. Ничто не выходит, пока не пройдёт её.
- Статический анализ (SAST)semgrep, bandit, PSScriptAnalyzer, анализаторы Roslyn и подходящие языку линтеры по всей кодовой базе.
- Аудит зависимостей и цепочки поставокЗафиксированные версии, SBOM, pip-audit / Dependabot и проверка того, что каждая сторонняя зависимость оправдана.
- Состязательный обзор кодаРучной обзор в поисках инъекций, обхода путей, SSRF, повышения привилегий и любого ослабления средств защиты.
- УкреплениеМы вместе закрываем бреши: минимум привилегий, без оболочки, проверка входных данных, безопасные по умолчанию значения и эшелонированная защита на опасных участках.
- Происхождение для каждого релизаCI собирает каждый релиз, записывает SHA256SUMS с SHA-256 и прикрепляет аттестацию происхождения сборки SLSA, так что каждую загрузку можно проверить.
Что вы сохраняете — и что получаете
Вклад в Strix не означает, что вы отдаёте свою работу.
Ваше авторство и авторские права
Вы остаётесь автором. Авторские права MIT принадлежат вам; Strix распространяет инструмент и сопровождает его вместе с вами.
Настоящая аудитория
Локализованная страница на 13 языках, настройка SEO/GEO и место в сетке инструментов и загрузках.
Надёжный конвейер релизов
Контрольные суммы, аттестация, со временем и путь к подписи кода (SignPath Foundation), а также процесс раскрытия уязвимостей — всё настроено для вас.
Совместное сопровождение
Задачи, pull request и сообщения о безопасности проходят через тот же процесс, что и остальная часть набора. Вы не остаётесь в одиночестве.
Готовы отправить?
Откройте задачу-заявку со ссылкой на ваш репозиторий и кратким описанием. Мы возьмём её в работу, проведём проверку и дальше будем работать вместе с вами. Ещё не готовы? Сначала прочитайте полное руководство по вкладу.
Для отправки нужна только учётная запись GitHub. Нет никакой платы, никакого соглашения контрибьютора, отбирающего ваши права, и никаких обязательств — вы можете отозвать заявку в любой момент до релиза.
FAQ
Потеряю ли я права на свой инструмент?
Нет. Вы сохраняете авторство и авторские права MIT. Strix сопровождает и распространяет инструмент вместе с вами, и вы можете отозвать его до релиза.
Какие языки или фреймворки допускаются?
Любые. Существующий набор охватывает Python, C#, PowerShell и не только — важны лицензия, правила офлайн/без телеметрии и прохождение проверки безопасности, а не технологический стек.
Что, если моему инструменту нужна сеть?
Это допустимо только тогда, когда сеть — это его настоящее предназначение (как у инструментов recon/OSINT). Тогда он должен быть без ключей, ограничен явным подтверждением согласия, чётко очерчен и только для авторизованного использования — никогда не тихий и не фоновый трафик.
Сколько длится проверка?
Это зависит от размера инструмента и количества обнаруженных проблем. Небольшие, уже укреплённые инструменты продвигаются быстро; всё, что связано с разрушительными операциями или повышением прав, получает дополнительное внимание.
Что произойдёт, если он не пройдёт?
Вы получите полный перечень обнаруженных проблем, сможете их устранить и подать заявку снова. Проверка, которая находит проблемы, — это работающий процесс; то же самое случилось с инструментами, уже входящими в набор.