Інструменти Strix Advanced Tools безкоштовні, з відкритим кодом (MIT) і створені так, щоб працювати повністю офлайн. Наші збірки для Windows ще не підписані цифровим підписом за допомогою платного сертифіката — ми невеликий, незалежний проєкт без бюджету, і ми радше скажемо це прямо, ніж приховуватимемо. Оскільки кожен інструмент має відкритий код, вам не потрібно вірити нам на слово ні в чому. Ось як перевірити це самостійно.
Останнє оновлення
📖
Вихідний код публічний
Кожен інструмент — це публічний репозиторій GitHub під ліцензією MIT. Прочитайте кожен рядок, зберіть його самостійно й переконайтеся, що він робить саме те, що заявлено.
🔗
Збірки засвідчені
Кожен випуск містить засвідчення походження збірки GitHub (SLSA Build L2) — криптографічний доказ того, що файл був зібраний із цього вихідного коду, на серверах GitHub, і не змінювався відтоді.
✈️
Ніщо не зв’язується потайки
Настільні інструменти не роблять жодних мережевих викликів. Від’єднайте мережевий кабель — і вони все одно працюватимуть; спостерігайте за вихідним трафіком — і ви не побачите жодного.
Перевірте своє завантаження
Перевірка необов’язкова — якщо ви завантажили з випуску на GitHub, усе вже гаразд. Але якщо хочете переконатися, кожен випуск постачається з файлом SHA256SUMS, і ось як звірити з ним. Замініть приклад імені файлу на інструмент, який ви завантажили.
🪟 WindowsПеревірте контрольну суму
У теці, куди ви зберегли завантаження, запустіть PowerShell:
Порівняйте виведений хеш із відповідним рядком у SHA256SUMS. Якщо вони ідентичні, файл побайтово відповідає тому, що ми опублікували:
Algorithm Hash Path
--------- ---- ----
SHA256 3F2A… (compare this to the value in SHA256SUMS) …\Strix-Inspector-Setup.exe
🐧 LinuxПеревірте контрольну суму
Помістіть завантаження та його файл SHA256SUMS в одну теку, потім:
sha256sum -c SHA256SUMS
Одне слово-відповідь на кожен файл — вам потрібне OK:
Strix-Inspector-Setup.exe: OK
🔗 Будь-яка ОСПеревірте походження збірки
Надійніше за контрольну суму: доведіть, що двійковий файл був зібраний із нашого публічного вихідного коду в нашому публічному CI. Потрібен GitHub CLI 2.49+: GitHub CLI
Контрольні суми публікуються в кожному GitHub Release і дублюються через HTTPS — приклад SHA256SUMS. Засвідчення походження зберігається на GitHub, а не в нас: тож ані ми, ані скомпрометоване дзеркало завантажень не можемо його підробити. SHA256SUMS
Які дані залишають вашу машину
Коротка версія: для настільних інструментів — жодні. Ось повний перелік — і кожен рядок можна підтвердити перехопленням пакетів.
Категорія
Що це
Куди це надходить
Файли, які ви обробляєте
Метадані, вміст дисків, архіви — читаються й записуються на місці, на вашій машині.
Ніколи не завантажуються. Нічого нікуди не надсилається.
Відомості про вашу систему
Ім’я хоста, ім’я користувача, серійні номери, IP-адреси, обладнання — відображаються лише в застосунку.
Відображаються локально; ніколи не передаються.
Налаштування та звіти
Уподобання, журнали, звіти HTML/PDF.
Зберігаються на диску (%LOCALAPPDATA% / ~/.config); ніколи не синхронізуються із сервером.
Статистика використання та збоїв
Немає. Немає жодного SDK аналітики, жодної телеметрії, жодного прихованого зв’язку.
Жодного вихідного socket. Від’єднайте мережу — вони все одно працюють.
Вихідний мережевий трафік (інструменти розвідки)
Vantage та Archer — чиє єдине призначення саме мережа.
Лише публічні API без ключів, які ви запускаєте явно, після підтвердження згоди, обмежені тайм-аутами.
Попередження антивірусів і SmartScreen
Оскільки наші застосунки для Windows не підписані та упаковані за допомогою PyInstaller, Windows SmartScreen може повідомити “невідомий видавець” or “рідко завантажується,” а кілька з приблизно 70 антивірусних рушіїв можуть позначити інсталятор. Це очікувано для нового, непідписаного програмного забезпечення з відкритим кодом — це загальна евристика щодо того, як упаковано застосунок, а не виявлення справжнього шкідливого програмного забезпечення.
Чому це відбувається: завантажувач PyInstaller — поширений формат упакування (шкідливе програмне забезпечення теж його використовує), у зовсім нового файлу немає репутації завантажень, а непідписані двійкові файли отримують штраф «підозрілий, доки не доведено протилежне».
Справжній доказ це контрольна сума та засвідчення походження вище, а також вихідний код, який ви можете прочитати, — а не евристика будь-якого постачальника.
Що ми робимо: ми повідомляємо постачальникам про хибні спрацювання, щойно вони з’являються, і подаємо заявку на безкоштовну програму підписання коду фонду SignPath Foundation для проєктів із відкритим кодом, яку розгортатимемо в міру напрацювання репутації.
Будь ласка, ніколи не вимикайте свій антивірус. Якщо ви не впевнені, перевірте контрольну суму або запустіть інструмент із вихідного коду.
Ми додаємо посилання на живе сканування VirusTotal для кожної збірки, щойно виходить випуск, щоб ви могли самі побачити поточний результат. Ми ніколи не публікуватимемо знімок екрана «чистого сканування» й не заявлятимемо про «нуль виявлень» — живе посилання, на яке можна натиснути, краще за знімок екрана, що застаріває з наступною збіркою.
Читайте вихідний код
Найнадійніша гарантія з усіх. Виконайте grep у будь-якому репозиторії за socket, urllib, requests або http і переконайтеся самі, що взаємодіє — а що ні — з мережею.
Витік даних через метадані файлів, відновлювані дані на викинутих накопичувачах, домени трекерів/телеметрії/реклами, тихі вихідні з’єднання, невідомі елементи автозапуску та пристрої, а також пропрієтарні інструменти, які ви не можете перевірити.
Чим Strix НЕ є
Це не антивірус/EDR, не пісочниця й не захист від скомпрометованої ОС чи шкідливого програмного забезпечення, яке вже працює з правами адміністратора. Настільні інструменти показують інформацію та діють за вашою командою; вони не борються з активними загрозами в реальному часі.
Межа довіри
Походження доводить, що завантаження надійшло без змін із цього публічного вихідного коду через CI GitHub. Воно не доводить, що вихідний код нешкідливий — для цього існує відкритий код MIT, який ви можете прочитати й зібрати заново.
Знайшли вразливість?
Повідомте про неї приватно — будь ласка, не відкривайте публічний тікет для помилки безпеки. Кожен репозиторій має файл SECURITY.md з описом моделі загроз і каналом для скоординованого розкриття, а також увімкнено приватне повідомлення про вразливості на GitHub. Ми не вживатимемо жодних заходів у відповідь і згадаємо вас у подяках, якщо ви цього забажаєте.