scout actionsダウンロード - scout actionsソースコードのダウンロード

scout actions

その他のカテゴリー

v3

ダウンロード

スカウト：セキュリティ分析ツール-Githubアクション

Scoutは、インクを支援するための拡張可能なオープンソースツールです！ Soroboanのスマートコントラクト開発者と監査人は、ベストプラクティスからの一般的なセキュリティの問題と逸脱を検出します。

このツールは、開発者が安全で堅牢なスマートコントラクトを書くのに役立ちます。

このプロジェクトへの関心は、手動監査と他のブロックチェーンでの同等のツールの使用経験から来ています。カバレッジと精度を改善するために、静的および動的分析技術に関する研究の取り組みに固執します。

GitHubアクションと統合する方法

.github/workflows/scout.ymlを作成します：

 name : Scout-actions
on : [push]
jobs :
  analyze :
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
      - uses : coinfabrik/scout-actions@v3
        with :
          target : ' ./target '
          scout_args : (scout arguments)
          scout_extra_args : (scout extra arguments)

YML説明

名前：スカウトアクション：これは、GitHubアクションダッシュボードで表示されるGitHubアクションの名前です。
オン：[プッシュ] ：この行は、アクションをトリガーするイベントを指定します。この場合、リポジトリにプッシュが行われるたびにGitHubアクションが発射されます。
ジョブ：GitHubアクションにはいくつかのジョブを含めることができます。この場合、Analyzeという名前の1つのジョブのみがセットアップされています。
分析：これはジョブの名前です。
runs-on：ubuntu-latest ：これは、ジョブのランタイム環境を指定します。ここでは、この仕事は最新のUbuntuバージョンで実行されます。
手順：これは、仕事で実行されるタスクのリストです。この場合、2つのタスクがあります。
使用：アクション/チェックアウト@V4 ：最初のタスクは、「Checkout@V4」と呼ばれるGitHubアクションを使用します。これは、GitHubアクションがリポジトリのコピーで動作できるようにする事前定義されたアクションです。
用途：coinfabrik/scout-actions@v3 ：2番目のタスクでは、coinfabrikが指定したバージョンであるgithubアクション 'Scout-actions@v3'を使用します。
with and target ： './target' ： 'coinfabrik/scout-actions@v3'タスクの下で、アクションの特定のターゲットを設定する追加のオプションが設定されています。この場合、ターゲットはパス./targetであり、スカウトはサブ/プロジェクトで実行されます： ./target/Cargo.toml target/cargo.toml。ターゲットディレクトリのこのTOMLファイルには、分析を受ける依存関係とプロジェクト構成がある可能性があります。
with/scout_args ：スカウトの現在の引数を上書きすることができます。これにより、後でPRSやチケットに含まれるマークダウンレポートを生成できます。ほとんどのユーザーはこれを変更する必要はありません。
/scout_extra_args with ：スカウトの追加の引数を指定することができます。これは、マークダウンレポート生成のために既に存在するものに追加されます。ほとんどのユーザーはこれを変更する必要はありません。

要するに、この.ymlファイルは、リポジトリへのプッシュでアクティブになるGitHubアクションを設定します。トリガーされると、リポジトリをチェックアウトしてから、「./Target」パスで「スカウトアクション@v3」アクションを実行します。

オプション

鍵	説明
`target`	スカウトによって分析されるプロジェクトのルートへの道。それは貨物の道である可能性があり、デフォルトはリポジトリのルートになります。
`scout_args`	スカウトの議論を上書きすることができます。デフォルトにより、スカウト出力はマークダウン出力になります。
`scout_extra_args`	このパラメーターを使用すると、マークダウン出力に必要なものを維持しながら、スカウト実行の引数を追加できます。

検出器

スカウトアクションで利用可能な検出器は、そのインクでスカウトに利用できるものです！およびソロバンバージョン。

完全な例

 name : scout-workflow
on : [push]

jobs :
  nuevo-test :
    runs-on : ubuntu-latest
    permissions :
      pull-requests : write
      contents : write
      repository-projects : write
    steps :
      - name : checkout
        uses : actions/checkout@v4

      - name : do scout
        uses : coinfabrik/scout-actions@v3
        with :
          target : ' avoid-autokey-upgradable/avoid-autokey-upgradable-1/vulnerable-example '

      - uses : mshick/[email protected]
        with :
          message-path :  ${{ github.workspace }}/report.md

謝辞

Scoutは、Coinfabrikの研究開発チームによって開発されたオープンソースの脆弱性アナライザーです。

Web3 Foundation Grantsプログラム、Aleph Zero Ecosystem Funding Program、およびStellar Community Fundから助成金を通じてサポートを受けました。

グラントプログラム	説明
	概念実証：ブエノスアイレス大学のソフトウェアエンジニアリングのための基礎とツールに関する研究室と協力して、検出器の分析技術とツールを確立し、脆弱性クラスとコードの例の初期リストを作成しました。グラントを表示\|申請書。プロトタイプ： Dylintで構築された糸くず検出器を使用して機能するプロトタイプを構築し、脆弱性クラス、検出器、およびテストケースのリストを拡張しました。プロトタイプを表示\|申請書。
	多相アプローチを使用して、ツールの検出器の精度と数を改善しました。これには、Aleph Zeroエコシステム内のプロジェクトの手動脆弱性分析、主要なプロジェクトに関するツールの包括的なテスト、およびその検出精度の改善が含まれます。
	Stellarのスマートコントラクト言語、Sorobanへのサポートを追加しました。 HTMLレポートなどのさまざまな出力形式を含め、ツールの精度とリコールを改善し、プルリクエストでツールを実行するためのGitHubアクションを追加しました。

コインファブリックについて

We -Coinfabrik-は、Web3に特化した研究開発会社であり、サイバーセキュリティの強力なバックグラウンドを持っています。 2014年に設立され、180を超えるブロックチェーン関連のプロジェクト、EVMベース、およびSolana、Algorand、Stellar、Polkadotのために取り組んできました。開発を超えて、私たちは、現在基板、堅実さ、明確さ、錆、ティール、恒星のソロバンのコードに取り組んでいる上級サイバーセキュリティの専門家の専用の社内チームを通じてセキュリティ監査を提供しています。

私たちのチームは、コンピューターサイエンスと数学の学術的背景を持ち、学術出版物、特許が製品に変わった、会議のプレゼンテーションなど、サイバーセキュリティとソフトウェア開発に焦点を当てた実務経験があります。さらに、ブエノスアイレス大学との知識移転およびオープンソースプロジェクトに関する継続的なコラボレーションがあります。