Bygg ett verktyg. Gör det till en del av Strix.
Strix är en svit, inte en instängd trädgård. Om du har byggt ett integritets- eller säkerhetsverktyg med öppen källkod som lever efter samma regler — offline som standard, noll telemetri, genuint granskningsbart — kan du föreslå det. När det väl klarar samma säkerhetsgranskning och härdningsomgång som varje Strix-verktyg genomgår, levereras det under Strix-paraplyet: ett eget repository, en sida på den här webbplatsen på 13 språk och attesterade releaser med kontrollsummor.
Senast uppdaterad
Så fungerar det
Fyra steg från ditt repository till ett färdigt Strix-verktyg — och du behåller upphovsmannaskapet och upphovsrätten hela vägen.
- 01
Bygg ditt verktyg
Skriv det på valfritt språk, för Windows och/eller Linux, under en MIT-kompatibel licens. Uppfyll kriterierna nedan: offline, ingen telemetri, en uppgift väl utförd.
- 02
Öppna en inlämning
Skapa ett inlämningsärende på GitHub med en länk till ditt repo, vad det gör, vilka plattformar det riktar sig till och hur det rör nätverket — om alls. Du behöver inget konto hos oss; bara GitHub.
- 03
Säkerhetsgranskning och härdning
Vi kör samma grind som varje Strix-verktyg klarade: statisk analys, en granskning av beroenden och leveranskedjan, en motståndarinriktad kodgranskning och en härdningsomgång. Du får resultaten och vi arbetar igenom dem tillsammans.
- 04
Det levereras som Strix
Vid godkännande får ditt verktyg ett eget repository under Strix-organisationen, en lokaliserad landningssida på den här webbplatsen och releaser med SHA-256-kontrollsummor och en attestering av byggets ursprung.
Vad ett Strix-verktyg måste vara
Dessa är icke förhandlingsbara — de är löftena som hela sviten är byggd på. Om ditt verktyg redan lever efter dem kommer det att känna sig som hemma här.
Öppen källkod
Offentlig källkod under MIT-licensen (eller en MIT-kompatibel tillåtande licens). Inget dolt, inget obfuskerat.
Offline som standard
Inga egna nätverksanrop för ett skrivbordsverktyg. Om nätverket är verktygets hela syfte (recon/OSINT) måste det vara nyckellöst, styrt av samtycke och tydligt avgränsat.
Noll telemetri
Inga analys-SDK:er, ingen hemrapportering, inga konton. Användarens data lämnar aldrig deras maskin.
En uppgift, väl utförd
Ett fokuserat verktyg med förnuftiga standardinställningar, en tydlig avgränsning och ett uttryckligt besked om vad det medvetet inte gör.
Dokumenterat och testbart
En README, en SECURITY.md med en hotmodell och regressionstester för allt som är säkerhetskritiskt.
Minsta möjliga behörighet
Inga skalanrop, ingen dynamisk kodkörning, subprocess-anrop endast via argv, verktygsupplösning med absoluta sökvägar och förhöjda rättigheter endast där det verkligen krävs.
Säkerhetsgranskningen som varje inlämning genomgår
Samma grind som de befintliga verktygen klarade före lanseringen. Inget levereras förrän det klarar den.
- Statisk analys (SAST)semgrep, bandit, PSScriptAnalyzer, Roslyn-analysatorer och språkanpassade linters över hela kodbasen.
- Granskning av beroenden och leveranskedjanLåsta versioner, en SBOM, pip-audit / Dependabot och en kontroll av att varje tredjepartsberoende är motiverat.
- Motståndarinriktad kodgranskningEn mänsklig genomgång som jagar injektion, path traversal, SSRF, rättighetseskalering och all försvagning av en säkerhetskontroll.
- HärdningVi täpper till luckorna tillsammans: minsta möjliga behörighet, inget skal, indatavalidering, fail-closed-standardvärden och djupförsvar på de farliga kodvägarna.
- Ursprung för varje releaseCI bygger varje release, skriver en SHA-256 SHA256SUMS och bifogar en SLSA build-provenance-attestering, så att varje nedladdning kan verifieras.
Vad du behåller — och vad du får
Att bidra till Strix betyder inte att du skriver bort ditt arbete.
Ditt upphovsmannaskap och din upphovsrätt
Du förblir upphovsperson. MIT-upphovsrätten är din; Strix distribuerar och samunderhåller den tillsammans med dig.
En verklig publik
En lokaliserad landningssida på 13 språk, SEO/GEO-uppkoppling och en plats i verktygsrutnätet och nedladdningarna.
En betrodd release-pipeline
Kontrollsummor, attestering, en så småningom kodsigneringsväg (SignPath Foundation) och en process för säkerhetsrapportering — uppsatt åt dig.
Samunderhåll
Ärenden, PR:er och säkerhetsrapporter flödar genom samma process som resten av sviten. Du står inte ensam.
Redo att skicka in?
Öppna ett inlämningsärende med din repository-länk och en kort beskrivning. Vi tar upp det, kör granskningen och arbetar med dig därifrån. Inte redo än? Läs den fullständiga bidragsguiden först.
För att skicka in krävs bara ett GitHub-konto. Ingen avgift, inget bidragsavtal som tar dina rättigheter och ingen förpliktelse — du kan dra tillbaka när som helst före release.
FAQ
Förlorar jag äganderätten till mitt verktyg?
Nej. Du behåller upphovsmannaskapet och MIT-upphovsrätten. Strix samunderhåller och distribuerar det tillsammans med dig, och du kan dra tillbaka det före release.
Vilka språk eller ramverk är tillåtna?
Alla. Den befintliga sviten spänner över Python, C#, PowerShell och mer — det som spelar roll är licensen, reglerna om offline/ingen telemetri och att klara säkerhetsgranskningen, inte teknikstacken.
Vad händer om mitt verktyg behöver nätverket?
Det är okej endast om nätverket är dess faktiska syfte (som recon/OSINT-verktygen). Det måste då vara nyckellöst, styrt av uttryckligt samtycke, tydligt avgränsat och endast för auktoriserad användning — aldrig tyst trafik eller bakgrundstrafik.
Hur lång tid tar granskningen?
Det beror på verktygets storlek och hur många fynd som dyker upp. Små, redan härdade verktyg går snabbt; allt som rör destruktiva operationer eller förhöjda rättigheter får extra granskning.
Vad händer om det inte klarar sig?
Du får alla fynd och kan åtgärda dem och skicka in på nytt. En granskning som hittar problem är processen i arbete — samma sak hände med verktygen som redan finns i sviten.