xcore est un framework Python qui prend en charge l'isolation, le contrôle des permissions et l'orchestration complète de vos plugins — avec une précision absolue. Invisible par design. Essentiel par nature.
↳ Une notification · Aucun spam
Il orchestre des dizaines de plugins simultanément depuis un seul poste de contrôle central. Personne ne le voit. Tout le monde lui fait confiance. Une erreur = catastrophe. Précision absolue, contrôle total, calme sous pression.
Ambiance dense, précise, chaque instrument a un rôle. Rien n'est décoratif. Les signaux ont une signification fonctionnelle précise. On opère dans l'obscurité, on voit ce que les autres ne voient pas.
Tout passe par lui. Des plugins rayonnent depuis un point central unique. Il ne s'impose pas — il tient. Retirer le noyau, et tout s'effondre. Chaque plugin perd son contexte, ses droits, ses services.
xcore prend en charge le chargement, l'isolation, la résolution des dépendances, la gestion des permissions et l'observabilité de tes plugins. Tu codes ta logique métier — xcore fait le reste.
from contextlib import asynccontextmanager
from xcore import Xcore
xcore = Xcore(config_path="int.yaml")
@asynccontextmanager
async def lifespan(app: FastAPI):
await xcore.boot(app)
yield
await xcore.shutdown()La marketplace xcorehub.dev accueille les plugins de la communauté. Chaque soumission passe par un pipeline de sécurité automatique avant d'être disponible. Ton plugin est signé cryptographiquement et enregistré dans un transparency log public.
Développe ton plugin avec l'API xcore. Trusted (in-process) ou sandboxé (subprocess isolé). Tu déclares tes permissions, tes ressources, tes dépendances.
Soumets ton archive sur xcorehub.dev. Le pipeline démarre automatiquement. Tu suis l'avancement gate par gate en temps réel.
Pipeline de sécurité automatique : analyse statique, supply chain, détection de secrets, exécution sandboxée, analyse comportementale. Chaque anomalie est scorée.
Si le pipeline passe, ton plugin est signé (Ed25519), le Merkle root est enregistré dans le Rekor transparency log (Sigstore). Il est alors disponible sur la marketplace.
Niveaux de confiance progressifs
Chaque plugin démarre en mode Sandboxed. Après validation et usage, il peut progresser vers Verified puis Trusted — avec des droits et des performances croissants.
xcore ne fait pas confiance par défaut. Chaque plugin opère dans un périmètre défini, avec des permissions explicites, sous surveillance constante.
Analyse AST statique pour bloquer les imports dangereux. Subprocess isolé via JSON-RPC 2.0. Limites RLIMIT sur mémoire (256 MB) et CPU (30s).
Chaque plugin déclare ses permissions dans son manifest (resource:action). First-match-wins. Audit trail complet de 100k entrées. Aucune élévation de privilège possible.
Merkle root SHA-256 de chaque plugin. Signature Ed25519. Enregistrement dans le Rekor transparency log (Sigstore) — vérifiable publiquement. SLSA Level 3.
Le 20 mai à 00h00, tous les inscrits reçoivent un email au moment où xcore est déployé et disponible. Pas de spam, une seule notification.