ホーム>JSPソースコード>その他のカテゴリー
ダウンロード

アマルナ

アマルナは、カイロプログラミング言語の静的アナリーザーとリナーです。

特徴

  • カイロコードでコードスメルと潜在的な脆弱性を見つけます
  • カイロコードとスタークネット契約のコンパイラ同一の解析
  • ローカルおよびグローバルなルールの作成をサポートします
  • カイロファイルの解析されたASTをエクスポートします
  • 静的分析結果をSARIF形式にエクスポートします。

基本的な使用法

現在のディレクトリでカイロプロジェクトを分析し、SARIFの結果をファイルにエクスポートします。 

amarna . -o out.sarif

単一のファイルfile.cairoを分析して、cairo。サリフの結果をファイルにエクスポートします。 

amarna file.cairo -o out.sarif

単一のファイルfile.cairoを分析し、結果の概要を印刷します。 

amarna file.cairo -s

統合

  • GitHubアクション統合には、Amarna-actionを使用します。

現在サポートされているルール

ルールそれが見つけたものインパクト精度
1算術操作算術操作のすべての使用 +、 - 、 *、および /情報高い
2未使用の議論それらが表示される関数で使用されない関数引数警告高い
3未使用の輸入品未使用の輸入品情報高い
4間違いのあるデコレータ間違いのあるコードデコレータ情報高い
5未使用関数呼び出されない関数情報中くらい
6エラーコードチェックする必要がある返品値を持つ関数呼び出し情報高い
7一貫性のない主張使用同じ定数assert_le(amount, BOUND)異なる方法で使用すると主張しますassert_le(amount, BOUND - 1)警告高い
8死んだ店割り当てられた値であるが、返信ステートメントの前に使用されない変数情報中くらい
9チェックされていないオーバーフロー返されたオーバーフローフラグを無視する関数呼び出し、例えば、 uint256_add警告高い
10発信者アドレス返信値get_caller_address関数への関数呼び出し。情報高い
11ストレージ変数の衝突同じ名前の複数の@storage_var 。 (非推奨)警告高い
12暗黙の関数インポートデコレーター@external, @view, @l1_handlerを使用して機能します。 (非推奨)情報高い
13強化ビュー関数@view関数内の状態変更情報高い
14初期化された変数初期化されないローカル変数。情報高い

使用法

現在のディレクトリでカイロプロジェクトを分析し、結果をファイルにエクスポートします。 

amarna . -o out.sarif

単一のファイルdeleverage.cairoを分析し、結果をファイルにエクスポートします。 

amarna deleverage.cairo -o deleverage.sarif

単一のファイルcode.cairoを分析し、結果の概要を印刷します。 

amarna code.cairo -s

カイロファイルを解析し、回収されたASTをpngに出力します。 

amarna file.cairo -png

UNUSED_IMPORTルールを使用してカイロファイルを分析します。 

amarna file.cairo --rules=unused-imports

算術-ADDルールを除くすべてのルールを使用して、カイロファイルを分析します。 

amarna file.cairo --except-rules=arithmetic-add

完全なヘルプメニューは次のとおりです。 

 usage: amarna [-h] [-p] [-o OUTPUT] [-s] [-png] [-rules RULES] [-exclude-rules EXCLUDE_RULES] [-show-rules] [-disable-inline] -f

Amarna is a static-analyzer for the Cairo programming language.

positional arguments:
  -f                    the name of the .cairo file or directory with .cairo files to analyze

optional arguments:
  -h, --help            show this help message and exit
  -p, --print           print output
  -o OUTPUT, --output OUTPUT
                        file to write the output results in sarif format
  -s, -summary, --summary
                        output summary
  -png, --png           save a png with the AST of a file
  -rules RULES, --rules RULES
                        Only run this set of rules. Enter rule names comma-separated, e.g., dead-store,unused-arguments
  -exclude-rules EXCLUDE_RULES, --exclude-rules EXCLUDE_RULES
                        Exclude these rules from the analysis. Enter rule names comma-separated, e.g., dead-store,unused-arguments
  -show-rules, --show-rules
                        Show all supported rules and descriptions.
  -disable-inline, --disable-inline
                        Disable rules with inline comments. The comments should be the first line and of the form: # amarna: disable=rulename1,rulename2

SARIFファイル形式

SARIFファイル形式は、静的分析ツールの標準形式であり、公式拡張機能とともにVSCodeで表示できます。

インストール

pip install amarna

ルールの仕組み

静的分析ルールは次のとおりです。

  • 各ファイルを独立して分析するローカルルール。
  • 各ファイルを独立して分析し、ポストプロセスルールで使用するデータを収集するGathererルール。
  • すべてのファイルが分析された後に実行される後処理ルールは、Gathererルールで収集されたデータを使用できます。

これらの例は次のとおりです。

  • ローカルルール:ファイル内ですべての算術操作を見つけます
  • 集まりのルール:宣言されたすべての関数を収集し、関数と呼ばれます
  • ポストプロセスルール:収集されたデータ、つまり、宣言されたが呼び出されない関数を使用して未使用関数を見つけます。

ルールAllowList、デニリスト、インラインコメント

ルール名

現在実装されているルールの名前を取得します。 

 amarna --show-rules

ルールAllowList

Amarnaを使用して定義された一連のルールを実行します

 amarna --rules=rule1,rule2 .

次のコマンドは、 unused-importsルールのみを実行し、概要結果を印刷します

 amarna --rules=unused-imports . -s

ルールデニリスト

使用して定義された一連のルールを除くすべてのルールを使用してAmarnaを実行します

 amarna --exclude-rules=arithmetic-add,arithmetic-sub . -s

コメントを無効にするインラインルール

カイロファイルの最初の行を変更して、そのファイルに設定された特定のルールを無効にすることができます。たとえば、行を追加します

 // amarna: disable=arithmetic-div,arithmetic-sub,arithmetic-mul,arithmetic-add

file.cairoの最初の行として、Amarnaを実行している

amarna directory/ --disable-inline -s

算術ルールはfile.cairoファイルに報告されません。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて