Inicio>código fuente JSP>Otras categorias
Descargar

Scout: Herramienta de análisis de seguridad - Acción GitHub

¡Scout es una herramienta extensible de código abierto destinada a ayudar a la tinta! Y los desarrolladores y auditores de contratos inteligentes de Soroboan detectan problemas de seguridad comunes y desviaciones de las mejores prácticas.

Esta herramienta ayudará a los desarrolladores a escribir contratos inteligentes seguros y más robustos.

Nuestro interés en este proyecto proviene de nuestra experiencia en auditoría manual y nuestro uso de herramientas comparables en otras cadenas de bloques. Para mejorar la cobertura y la precisión, persistiremos en los esfuerzos de investigación en técnicas de análisis estáticos y dinámicos.

Cómo integrarse con las acciones de Github

Crear .github/workflows/scout.yml : 

 name : Scout-actions
on : [push]
jobs :
  analyze :
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
      - uses : coinfabrik/scout-actions@v3
        with :
          target : ' ./target '
          scout_args : (scout arguments)
          scout_extra_args : (scout extra arguments)

Descripción de YML

  • Nombre: Scout-Actions : Este es el nombre de la acción GitHub que se verá en el panel de acciones de GitHub.
  • ON: [Push] : esta línea especifica el evento que activará la acción. En este caso, la acción de GitHub dispara cada vez que se realiza un empuje al repositorio.
  • Trabajos : las acciones de GitHub pueden contener varios trabajos. En este caso, solo se ha establecido un trabajo llamado Analyze.
  • Analizar : Este es el nombre del trabajo.
  • Runs-On: Ubuntu-Latest : esto especifica el entorno de tiempo de ejecución para el trabajo. Aquí, el trabajo se ejecutará en la última versión de Ubuntu disponible.
  • Pasos : Esta es una lista de tareas que se llevarán a cabo en el trabajo. En este caso, hay dos tareas.
  • Usos: Acciones/Checkout@V4 : La primera tarea usa una acción GitHub llamada 'Checkout@V4'. Esta es una acción predefinida que permite que las acciones de GitHub funcionen con una copia de su repositorio.
  • Usos: Coinfabrik/Scout-Actions@V3 : la segunda tarea usa la acción GitHub 'Scout-Actions@V3', una versión especificada por Coinfabrik.
  • con y objetivo : './target' : debajo de la tarea 'Coinfabrik/Scout-Actions@V3', se configura una opción adicional, que establece un objetivo específico para la acción con. En este caso, el objetivo es la ruta ./target , y Scout se ejecutará en Sub/Project: ./target/Cargo.toml . Este archivo TOML en el directorio de destino probablemente tenga las dependencias y la configuración del proyecto que sufrirán análisis.
  • con/scout_args : le permite sobrescribir los argumentos actuales para Scout, lo que hace que genere un informe de Markdown que más tarde se pueda incluir en PRS y boletos. La mayoría de los usuarios no necesitan cambiar esto.
  • con/scout_extra_args : le permite especificar argumentos adicionales para Scout, que se agregarán a la generación de informes ya presente para Markdown. La mayoría de los usuarios no necesitan cambiar esto.

En resumen, este archivo .yml establece una acción GitHub que se activa en cualquier empuje al repositorio. Cuando se active, verificará el repositorio y luego ejecutará la acción 'Scout-Actions@v3' en la ruta './target'.

Opción

Llave Descripción
target La ruta hacia la raíz del proyecto a analizar por Scout. Puede ser una ruta de carga.toml, y es predeterminado a la raíz de repo.
scout_args Le permite sobrescribir los argumentos para Scout. El valor predeterminado hace que la salida de explorador sea una salida de markdown.
scout_extra_args Este parámetro le permite agregar argumentos para la ejecución de Scout mientras mantiene la salida requerida para la salida de Markdown.

Detectores

¡Los detectores disponibles para acciones de Scout son los que están disponibles para Scout en su tinta! y versiones de Soroban.

Ejemplo completo 

 name : scout-workflow
on : [push]

jobs :
  nuevo-test :
    runs-on : ubuntu-latest
    permissions :
      pull-requests : write
      contents : write
      repository-projects : write
    steps :
      - name : checkout
        uses : actions/checkout@v4

      - name : do scout
        uses : coinfabrik/scout-actions@v3
        with :
          target : ' avoid-autokey-upgradable/avoid-autokey-upgradable-1/vulnerable-example '

      - uses : mshick/[email protected]
        with :
          message-path :  ${{ github.workspace }}/report.md

Expresiones de gratitud

Scout es un analizador de vulnerabilidad de código abierto desarrollado por el equipo de investigación y desarrollo de Coinfabrik.

Recibimos apoyo a través del Programa de Subvenciones de la Fundación Web3, el programa de financiación del ecosistema Aleph Zero y el Fondo Comunitario Stellar.

Programa de subvenciones Descripción
Prueba de concepto: colaboramos con el Laboratorio de Fundaciones y Herramientas para la Ingeniería de Software (LAFHIS) en la Universidad de Buenos Aires para establecer técnicas y herramientas de análisis para nuestros detectores, así como para crear una lista inicial de clases de vulnerabilidad y ejemplos de código. Ver Grant | Formulario de solicitud.

Prototipo: creamos un prototipo en funcionamiento utilizando detectores de pelusa construidos con dylint y ampliamos la lista de clases de vulnerabilidad, detectores y casos de prueba. Ver prototipo | Formulario de solicitud.
Mejoramos la precisión y el número de detectores para la herramienta con un enfoque de fases múltiples. Esto incluyó un análisis manual de vulnerabilidad de proyectos dentro del ecosistema Aleph Zero, pruebas integrales de la herramienta en proyectos líderes y refinando su precisión de detección.
Fondo Comunitario Estelar Agregamos apoyo al lenguaje de contrato inteligente de Stellar, Soroban. Incluimos varios formatos de salida, como un informe HTML, mejoramos la precisión y el retiro de la herramienta, y agregamos una acción de GitHub para ejecutar la herramienta con solicitudes de extracción.

Acerca de Coinfabrik

Nosotros - Coinfabrik - somos una empresa de investigación y desarrollo especializada en Web3, con una sólida experiencia en ciberseguridad. Fundado en 2014, hemos trabajado en más de 180 proyectos relacionados con Blockchain, con sede en EVM y también para Solana, Algorand, Stellar y Polkadot. Más allá del desarrollo, ofrecemos auditorías de seguridad a través de un equipo interno dedicado de profesionales de seguridad cibernética senior, que actualmente trabajan en código en sustrato, solidez, claridad, óxido, verde azulado y soroban estelar.

Nuestro equipo tiene experiencia académica en informática y matemáticas, con experiencia laboral centrada en la ciberseguridad y el desarrollo de software, incluidas publicaciones académicas, patentes convertidas en productos y presentaciones de conferencias. Además, tenemos una colaboración continua sobre transferencia de conocimiento y proyectos de código abierto con la Universidad de Buenos Aires.

Licencia

Scout tiene licencia y se distribuye bajo una licencia MIT. Contáctenos si está buscando una excepción a los términos.

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo