Startseite>JSP-Quellcode>Andere Kategorien
Herunterladen

Scout: Sicherheitsanalyse -Tool - GitHub -Aktion

Scout ist ein erweiterbares Open-Source-Tool, das Tinte unterstützen soll! und Soroboan Smart Contract Developers und Prüfer erkennen gemeinsame Sicherheitsprobleme und Abweichungen von Best Practices.

Dieses Tool hilft Entwicklern, sichere und robustere intelligentere Verträge zu schreiben.

Unser Interesse an diesem Projekt stammt aus unserer Erfahrung in der manuellen Prüfung und unserer Verwendung vergleichbarer Tools in anderen Blockchains. Um die Abdeckung und Präzision zu verbessern, bleiben wir in Forschungsbemühungen zu statischen und dynamischen Analysetechniken.

Wie man in Github -Aktionen integriert

Erstellen .github/workflows/scout.yml : 

 name : Scout-actions
on : [push]
jobs :
  analyze :
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
      - uses : coinfabrik/scout-actions@v3
        with :
          target : ' ./target '
          scout_args : (scout arguments)
          scout_extra_args : (scout extra arguments)

YML Beschreibung

  • Name: Scout-Actions : Dies ist der Name der GitHub-Aktion, die im Dashboard der Github-Aktionen angezeigt wird.
  • ON: [Push] : Diese Zeile gibt das Ereignis an, das die Aktion auslöst. In diesem Fall wird die Github -Aktion ausgelöst, wenn ein Push an das Repository vorgenommen wird.
  • Jobs : GitHub -Aktionen können mehrere Jobs enthalten. In diesem Fall wurde nur ein Job namens Analyze eingerichtet.
  • Analyse : Dies ist der Name des Jobs.
  • Läufe: Ubuntu-Latest : Dies gibt die Laufzeitumgebung für den Job an. Hier wird der Job auf der neuesten verfügbaren Ubuntu -Version ausgeführt.
  • Schritte : Dies ist eine Liste von Aufgaben, die im Job ausgeführt werden sollen. In diesem Fall gibt es zwei Aufgaben.
  • Verwendete: Aktionen/Checkout@v4 : Die erste Aufgabe verwendet eine GitHub -Aktion mit dem Namen "Checkout@v4". Dies ist eine vordefinierte Aktion, mit der GitHub -Aktionen mit einer Kopie Ihres Repositorys arbeiten können.
  • Verwendet: Coinfabrik/Scout-Actions@v3 : Die zweite Aufgabe verwendet die GitHub-Aktion 'Scout-Actions@v3', eine von Coinfabrik angegebene Version.
  • Mit und Ziel : './target' : Unter der Aufgabe 'Coinfabrik/Scout-Acts@v3' ist eine zusätzliche Option mit konfiguriertem, die ein bestimmtes Ziel für die Aktion mit festgelegt ist. In diesem Fall ist das Ziel der ./target/Cargo.toml ./target Diese TOML -Datei im Zielverzeichnis hat wahrscheinlich die Abhängigkeiten und die Projektkonfiguration, die analysiert werden.
  • Mit/scout_args : Ermöglicht Sie, aktuelle Argumente für Scout zu überschreiben, wodurch ein Markdown -Bericht erstellt wird, der später in PRS und Tickets enthalten sein kann. Die meisten Benutzer müssen dies nicht ändern.
  • Mit/scout_extra_args : Ermöglicht Sie zusätzliche Argumente für Scout, die zum bereits vorhandenen für die Erzeugung von Markdown -Bericht hinzugefügt werden. Die meisten Benutzer müssen dies nicht ändern.

Kurz gesagt, in dieser .YML -Datei wird eine GitHub -Aktion eingerichtet, die bei jedem Drücken zum Repository aktiviert. Wenn es ausgelöst wird, wird das Repository überprüft und dann die Scout-Actions@v3-Aktion auf dem Pfad "./Target" ausgeführt.

Optionen

Schlüssel Beschreibung
target Der Weg zur Wurzel des Projekts, das durch Scout analysiert werden soll. Es kann ein Pfad der Fracht sein.
scout_args Ermöglicht es Ihnen, die Argumente für Scout zu überschreiben. Durch die Standardeinstellung wird Scout -Ausgabe eine Markdown -Ausgabe ausgelöst.
scout_extra_args Mit diesem Parameter können Sie Argumente für die Scout -Ausführung hinzufügen und gleichzeitig die erforderlichen Ausgabe von Markdown beibehalten.

Detektoren

Detektoren für Scout -Aktionen sind die für Scout in seiner Tinte verfügbar! und Soroban -Versionen.

Vollständiges Beispiel 

 name : scout-workflow
on : [push]

jobs :
  nuevo-test :
    runs-on : ubuntu-latest
    permissions :
      pull-requests : write
      contents : write
      repository-projects : write
    steps :
      - name : checkout
        uses : actions/checkout@v4

      - name : do scout
        uses : coinfabrik/scout-actions@v3
        with :
          target : ' avoid-autokey-upgradable/avoid-autokey-upgradable-1/vulnerable-example '

      - uses : mshick/[email protected]
        with :
          message-path :  ${{ github.workspace }}/report.md

Anerkennung

Scout ist ein Open -Source -Analysator für Schwachstellen, der vom Forschungs- und Entwicklungsteam von Coinfabrik entwickelt wurde.

Wir erhielten Unterstützung durch Zuschüsse des Web3 Foundation Grants -Programms, des Aleph Zero -Ökosystemfinanzierungsprogramms und des Stellar Community Fund.

Zuschussprogramm Beschreibung
Proof of Concept: Wir haben mit dem Labor für Fundamente und Tools für Software Engineering (LAFHIS) an der University of Buenos Aires zusammengearbeitet, um Analysetechniken und -Tools für unsere Detektoren zu ermitteln und eine erste Liste von Klassenklassen und Code -Beispielen zu erstellen. Ansicht Grant | Antragsformular.

Prototyp: Wir haben einen funktionierenden Prototyp unter Verwendung von Lining -Detektoren erstellt, die mit DyRINT erstellt wurden, und die Liste der Sicherheitsklassen, Detektoren und Testfälle erweitert. Prototyp anzeigen | Antragsformular.
Wir haben die Präzision und Anzahl der Detektoren für das Tool mit einem Mehrphasenansatz verbessert. Dies beinhaltete eine manuelle Verwundbarkeitsanalyse von Projekten innerhalb des Aleph Zero -Ökosystems, umfassende Tests des Tools zu führenden Projekten und die Verfeinerung seiner Erkennungsgenauigkeit.
Herausragender Gemeinschaftsfonds Wir haben die Unterstützung für Stellars intelligente Vertragssprache Soroban hinzugefügt. Wir haben verschiedene Ausgangsformate, wie z. B. einen HTML -Bericht, eingeschlossen, die Genauigkeit und den Rückruf des Tools verbessert und eine Github -Aktion hinzugefügt, um das Tool mit Pull -Anfragen auszuführen.

Über Coinfabrik

Wir - Coinfabrik - sind ein auf Web3 spezialisiertes Forschungs- und Entwicklungsunternehmen mit einem starken Hintergrund in der Cybersicherheit. Wir wurden 2014 gegründet und haben an über 180 Blockchain-bezogenen Projekten gearbeitet, EVM-basiert und auch für Solana, Algorand, Stellar und Polkadot. Über die Entwicklung hinaus bieten wir Sicherheitsaudits über ein engagiertes internes Team von hochrangigen Cybersicherheitsprofis an, die derzeit an Code in Substrat, Solidität, Klarheit, Rost, Teal und Stellar Soroban arbeiten.

Unser Team verfügt über einen akademischen Hintergrund in Informatik und Mathematik mit Berufserfahrung auf Cybersicherheit und Softwareentwicklung, einschließlich akademischer Veröffentlichungen, Patente, in Produkte und Konferenzpräsentationen. Darüber hinaus haben wir eine kontinuierliche Zusammenarbeit zu Wissenstransfer- und Open-Source-Projekten mit der University of Buenos Aires.

Lizenz

Scout ist lizenziert und unter einer MIT -Lizenz verteilt. Kontaktieren Sie uns, wenn Sie nach einer Ausnahme von den Bedingungen suchen.

Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle