scout actions

Scout adalah alat sumber terbuka yang dapat diperluas yang dimaksudkan untuk membantu tinta! dan pengembang dan auditor kontrak pintar Soroboan mendeteksi masalah keamanan umum dan penyimpangan dari praktik terbaik.

Alat ini akan membantu pengembang menulis kontrak pintar yang aman dan lebih kuat.

Ketertarikan kami pada proyek ini berasal dari pengalaman kami dalam audit manual dan penggunaan alat yang sebanding di blockchains lainnya. Untuk meningkatkan cakupan dan presisi, kami akan bertahan dalam upaya penelitian tentang teknik analisis statis dan dinamis.

Buat .github/workflows/scout.yml :

 name : Scout-actions
on : [push]
jobs :
  analyze :
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
      - uses : coinfabrik/scout-actions@v3
        with :
          target : ' ./target '
          scout_args : (scout arguments)
          scout_extra_args : (scout extra arguments)

• Nama: Scout-Actions : Ini adalah nama aksi GitHub yang akan dilihat di dasbor aksi GitHub.
• ON: [PUSH] : Baris ini menentukan peristiwa yang akan memicu tindakan. Dalam hal ini, aksi GitHub menembak setiap kali dorongan dilakukan ke repositori.
• Pekerjaan : Tindakan GitHub dapat berisi beberapa pekerjaan. Dalam hal ini, hanya satu pekerjaan bernama Analisis yang telah diatur.
• Analisis : Ini adalah nama pekerjaan.
• Run-on: Ubuntu-latest : Ini menentukan lingkungan runtime untuk pekerjaan itu. Di sini, pekerjaan akan berjalan pada versi Ubuntu terbaru yang tersedia.
• Langkah : Ini adalah daftar tugas yang harus dilakukan dalam pekerjaan. Dalam hal ini, ada dua tugas.
• Penggunaan: Tindakan/Checkout@V4 : Tugas pertama menggunakan tindakan github yang disebut 'checkout@v4'. Ini adalah tindakan yang telah ditentukan sebelumnya yang memungkinkan tindakan GitHub bekerja dengan salinan repositori Anda.
• Penggunaan: Coinfabrik/Scout-actions@v3 : Tugas kedua menggunakan aksi github 'Scout-actions@v3', sebuah versi yang ditentukan oleh Coinfabrik.
• dengan dan target : './target' : Di bawah tugas 'Coinfabrik/Scout-actions@v3', opsi tambahan dengan dikonfigurasi, yang menetapkan target spesifik untuk tindakan di bawah dengan. Dalam hal ini, targetnya adalah jalur ./target , dan Scout akan berjalan pada sub/proyek: ./target/Cargo.toml . File TOML ini di direktori target kemungkinan memiliki dependensi dan konfigurasi proyek yang akan mengalami analisis.
• dengan/scout_args : memungkinkan Anda untuk menimpa argumen saat ini untuk Scout, yang membuatnya menghasilkan laporan penurunan harga yang kemudian dapat dimasukkan dalam PR dan tiket. Sebagian besar pengguna tidak perlu mengubah ini.
• dengan/scout_extra_args : memungkinkan Anda untuk menentukan argumen tambahan untuk Scout, yang akan ditambahkan ke yang sudah ada untuk pembuatan laporan Markdown. Sebagian besar pengguna tidak perlu mengubah ini.

Singkatnya, file .yml ini mengatur tindakan github yang diaktifkan pada dorongan apa pun ke repositori. Saat dipicu, itu akan memeriksa repositori dan kemudian menjalankan aksi 'Scout-actions@v3' pada jalur './target'.

Detektor yang tersedia untuk tindakan pengintai adalah yang tersedia untuk pengintai dengan tinta! dan versi Soroban.

 name : scout-workflow
on : [push]

jobs :
  nuevo-test :
    runs-on : ubuntu-latest
    permissions :
      pull-requests : write
      contents : write
      repository-projects : write
    steps :
      - name : checkout
        uses : actions/checkout@v4

      - name : do scout
        uses : coinfabrik/scout-actions@v3
        with :
          target : ' avoid-autokey-upgradable/avoid-autokey-upgradable-1/vulnerable-example '

      - uses : mshick/[email protected]
        with :
          message-path :  ${{ github.workspace }}/report.md 

Scout adalah penganalisa kerentanan open source yang dikembangkan oleh tim penelitian dan pengembangan Coinfabrik.

Kami menerima dukungan melalui hibah dari Program Hibah Yayasan Web3, Program Pendanaan Ekosistem Aleph Zero dan Dana Komunitas Stellar.

Program hibah	Keterangan
	Bukti Konsep: Kami berkolaborasi dengan laboratorium tentang yayasan dan alat untuk rekayasa perangkat lunak (LAFHIS) di University of Buenos Aires untuk membangun teknik analisis dan alat untuk detektor kami, serta membuat daftar awal kelas kerentanan dan contoh kode. Lihat hibah | Formulir Aplikasi. Prototipe: Kami membangun prototipe yang berfungsi menggunakan detektor serat yang dibangun dengan Dylint dan memperluas daftar kelas kerentanan, detektor, dan kasus uji. Lihat Prototipe | Formulir Aplikasi.
	Kami meningkatkan presisi dan jumlah detektor untuk alat dengan pendekatan multi-fase. Ini termasuk analisis kerentanan manual proyek dalam ekosistem Aleph Zero, pengujian komprehensif alat pada proyek -proyek terkemuka, dan menyempurnakan akurasi deteksi.
	Kami menambahkan dukungan untuk bahasa kontrak pintar Stellar, Soroban. Kami menyertakan berbagai format output, seperti laporan HTML, meningkatkan ketepatan dan penarikan alat, dan menambahkan tindakan GitHub untuk menjalankan alat dengan permintaan tarik.

We - Coinfabrik - adalah perusahaan riset dan pengembangan yang berspesialisasi dalam Web3, dengan latar belakang yang kuat dalam cybersecurity. Didirikan pada tahun 2014, kami telah mengerjakan lebih dari 180 proyek terkait blockchain, yang berbasis EVM dan juga untuk Solana, Algorand, Stellar dan Polkadot. Di luar pengembangan, kami menawarkan audit keamanan melalui tim profesional cybersecurity senior yang berdedikasi, saat ini mengerjakan kode dalam substrat, soliditas, kejelasan, karat, teal dan bintang Soroban.

Tim kami memiliki latar belakang akademik dalam ilmu komputer dan matematika, dengan pengalaman kerja yang difokuskan pada keamanan siber dan pengembangan perangkat lunak, termasuk publikasi akademik, paten berubah menjadi produk, dan presentasi konferensi. Selain itu, kami memiliki kolaborasi berkelanjutan tentang transfer pengetahuan dan proyek open-source dengan University of Buenos Aires.

Scout dilisensikan dan didistribusikan di bawah lisensi MIT. Hubungi kami jika Anda mencari pengecualian untuk persyaratan.