Strix Advanced Tools
RU
Открыто для инструментов сообщества

Создайте инструмент. Сделайте его частью Strix.

Strix — это набор инструментов, а не огороженный сад. Если вы создали инструмент для приватности или безопасности с открытым исходным кодом, который живёт по тем же правилам — офлайн по умолчанию, ноль телеметрии, действительно поддающийся аудиту, — вы можете предложить его. Как только он пройдёт ту же проверку безопасности и этап укрепления, что и каждый инструмент Strix, он выходит под эгидой Strix: собственный репозиторий, страница на этом сайте на 13 языках и релизы с контрольными суммами и аттестацией.

Последнее обновление

Как это работает

Четыре шага от вашего репозитория до готового инструмента Strix — и вы сохраняете авторство и авторские права на всём пути.

  1. 01

    Создайте свой инструмент

    Напишите его на любом языке, для Windows и/или Linux, под совместимой с MIT лицензией. Соответствуйте приведённым ниже критериям: офлайн, без телеметрии, одно дело сделано хорошо.

  2. 02

    Откройте заявку

    Создайте задачу-заявку на GitHub со ссылкой на ваш репозиторий, описанием того, что он делает, целевых платформ и того, как он работает с сетью — если вообще работает. Учётная запись у нас не нужна; только GitHub.

  3. 03

    Проверка безопасности и укрепление

    Мы проводим ту же проверку, которую прошёл каждый инструмент Strix: статический анализ, аудит зависимостей и цепочки поставок, состязательный обзор кода и этап укрепления. Вы получаете результаты, и мы прорабатываем их вместе.

  4. 04

    Он выходит как Strix

    После принятия ваш инструмент получает собственный репозиторий в организации Strix, локализованную страницу на этом сайте и релизы с контрольными суммами SHA-256 и аттестацией происхождения сборки.

Каким должен быть инструмент Strix

Это условия, не подлежащие обсуждению, — на них построен весь набор. Если ваш инструмент уже живёт по ним, он сразу почувствует себя здесь как дома.

Открытый исходный код

Публичный исходный код под лицензией MIT (или совместимой с MIT разрешительной лицензией). Ничего скрытого, ничего обфусцированного.

Офлайн по умолчанию

Никаких собственных сетевых обращений для настольного инструмента. Если сеть — это всё предназначение инструмента (recon/OSINT), он должен быть без ключей, ограничен подтверждением согласия и чётко очерчен.

Ноль телеметрии

Никаких SDK аналитики, никаких «звонков домой», никаких учётных записей. Данные пользователя никогда не покидают его машину.

Одно дело, сделанное хорошо

Сфокусированная утилита с разумными настройками по умолчанию, чёткой областью применения и явным перечнем того, чего она намеренно не делает.

Документирован и тестируем

README, файл SECURITY.md с моделью угроз и регрессионные тесты для всего, что критично для безопасности.

Минимум привилегий

Никаких вызовов оболочки, никакого динамического выполнения кода, вызовы подпроцессов только через argv, разрешение путей к инструментам по абсолютным путям и повышение прав только там, где оно действительно необходимо.

Проверка безопасности, которую проходит каждая заявка

Та же проверка, которую прошли существующие инструменты перед запуском. Ничто не выходит, пока не пройдёт её.

Что вы сохраняете — и что получаете

Вклад в Strix не означает, что вы отдаёте свою работу.

Ваше авторство и авторские права

Вы остаётесь автором. Авторские права MIT принадлежат вам; Strix распространяет инструмент и сопровождает его вместе с вами.

Настоящая аудитория

Локализованная страница на 13 языках, настройка SEO/GEO и место в сетке инструментов и загрузках.

Надёжный конвейер релизов

Контрольные суммы, аттестация, со временем и путь к подписи кода (SignPath Foundation), а также процесс раскрытия уязвимостей — всё настроено для вас.

Совместное сопровождение

Задачи, pull request и сообщения о безопасности проходят через тот же процесс, что и остальная часть набора. Вы не остаётесь в одиночестве.

Готовы отправить?

Откройте задачу-заявку со ссылкой на ваш репозиторий и кратким описанием. Мы возьмём её в работу, проведём проверку и дальше будем работать вместе с вами. Ещё не готовы? Сначала прочитайте полное руководство по вкладу.

Для отправки нужна только учётная запись GitHub. Нет никакой платы, никакого соглашения контрибьютора, отбирающего ваши права, и никаких обязательств — вы можете отозвать заявку в любой момент до релиза.

FAQ

Потеряю ли я права на свой инструмент?

Нет. Вы сохраняете авторство и авторские права MIT. Strix сопровождает и распространяет инструмент вместе с вами, и вы можете отозвать его до релиза.

Какие языки или фреймворки допускаются?

Любые. Существующий набор охватывает Python, C#, PowerShell и не только — важны лицензия, правила офлайн/без телеметрии и прохождение проверки безопасности, а не технологический стек.

Что, если моему инструменту нужна сеть?

Это допустимо только тогда, когда сеть — это его настоящее предназначение (как у инструментов recon/OSINT). Тогда он должен быть без ключей, ограничен явным подтверждением согласия, чётко очерчен и только для авторизованного использования — никогда не тихий и не фоновый трафик.

Сколько длится проверка?

Это зависит от размера инструмента и количества обнаруженных проблем. Небольшие, уже укреплённые инструменты продвигаются быстро; всё, что связано с разрушительными операциями или повышением прав, получает дополнительное внимание.

Что произойдёт, если он не пройдёт?

Вы получите полный перечень обнаруженных проблем, сможете их устранить и подать заявку снова. Проверка, которая находит проблемы, — это работающий процесс; то же самое случилось с инструментами, уже входящими в набор.