scout actions 다운로드 - scout actions 소스 코드 다운로드

scout actions

기타 카테고리

v3

다운로드

스카우트 : 보안 분석 도구 -Github 작업

스카우트는 잉크를 지원하기위한 확장 가능한 오픈 소스 도구입니다! Soroboan Smart Contract 개발자 및 감사인은 일반적인 보안 문제와 모범 사례에서 편차를 감지합니다.

이 도구는 개발자가 안전하고 강력한 스마트 계약을 작성하는 데 도움이됩니다.

이 프로젝트에 대한 우리의 관심은 수동 감사 경험과 다른 블록 체인에서 비슷한 도구 사용에서 비롯됩니다. 적용 범위와 정밀도를 향상시키기 위해 정적 및 동적 분석 기술에 대한 연구 노력을 지속 할 것입니다.

GitHub 작업과 통합하는 방법

.github/workflows/scout.yml 작성하십시오 :

 name : Scout-actions
on : [push]
jobs :
  analyze :
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
      - uses : coinfabrik/scout-actions@v3
        with :
          target : ' ./target '
          scout_args : (scout arguments)
          scout_extra_args : (scout extra arguments)

YML 설명

이름 : 스카우트 액션 : 이것은 Github Actions 대시 보드에서 볼 수있는 Github 액션의 이름입니다.
on : [푸시] :이 줄은 동작을 트리거 할 이벤트를 지정합니다. 이 경우 GitHub 동작은 저장소에 푸시 될 때마다 발생합니다.
작업 : GitHub 작업에는 여러 작업이 포함될 수 있습니다. 이 경우 Analyze라는 이름의 한 작업 만 설정되었습니다.
분석 : 이것은 직업의 이름입니다.
Runs-on : Ubuntu-Latest : 작업의 런타임 환경을 지정합니다. 여기에서 작업은 최신 Ubuntu 버전에서 실행됩니다.
단계 : 이것은 작업에서 수행 할 작업 목록입니다. 이 경우 두 가지 작업이 있습니다.
용도 : Action/Checkout@V4 : 첫 번째 작업은 'Checkout@V4'라는 GitHub 동작을 사용합니다. 이것은 GitHub 조치가 저장소 사본과 함께 작동하도록하는 사전 정의 된 조치입니다.
용도 : coinfabrik/scout-actions@v3 : 두 번째 작업은 Coinfabrik이 지정한 버전 인 Github Action 'Scout-Actions@V3'을 사용합니다.
with and target : './target' : 'coinfabrik/scout-actions@v3'작업에서 추가 옵션이 구성되어있어 작업의 특정 대상을 설정합니다. 이 경우 대상은 경로 ./target 이며 스카우트는 서브/프로젝트에서 실행됩니다 : ./target/Cargo.toml . 대상 디렉토리 의이 TOML 파일에는 분석을 겪을 종속성 및 프로젝트 구성이있을 수 있습니다.
/scout_args를 사용하면 Scout에 대한 현재 인수를 덮어 쓸 수 있으므로 나중에 PR 및 티켓에 포함될 수있는 Markdown 보고서를 생성합니다. 대부분의 사용자는 이것을 변경할 필요가 없습니다.
with/scout_extra_args : scout에 대한 추가 인수를 지정할 수 있으며, 이는 Markdown 보고서 생성을 위해 이미 존재하는 것에 추가 될 예정입니다. 대부분의 사용자는 이것을 변경할 필요가 없습니다.

요컨대,이 .yml 파일은 저장소로의 푸시에서 활성화되는 github 동작을 설정합니다. 트리거되면 저장소를 확인한 다음 './target'경로에서 '스카우트-액션@v3'액션을 실행합니다.

옵션

열쇠	설명
`target`	Scout에 의해 분석 될 프로젝트의 근본으로가는 경로. Cargo.toml의 경로 일 수 있으며 레포 루트의 기본값이 있습니다.
`scout_args`	스카우트 논쟁을 덮어 쓸 수 있습니다. 기본값은 스카우트 출력을 마크 다운 출력으로 만듭니다.
`scout_extra_args`	이 매개 변수를 사용하면 마크 다운 출력에 필요한 것을 유지하면서 스카우트 실행에 대한 인수를 추가 할 수 있습니다.

탐지기

스카우트 액션에 사용할 수있는 감지기는 잉크에서 스카우트에 사용할 수있는 것입니다! 그리고 소로 반 버전.

전체 예

 name : scout-workflow
on : [push]

jobs :
  nuevo-test :
    runs-on : ubuntu-latest
    permissions :
      pull-requests : write
      contents : write
      repository-projects : write
    steps :
      - name : checkout
        uses : actions/checkout@v4

      - name : do scout
        uses : coinfabrik/scout-actions@v3
        with :
          target : ' avoid-autokey-upgradable/avoid-autokey-upgradable-1/vulnerable-example '

      - uses : mshick/[email protected]
        with :
          message-path :  ${{ github.workspace }}/report.md

감사의 말

Scout은 Coinfabrik의 연구 개발 팀이 개발 한 오픈 소스 취약성 분석기입니다.

우리는 Web3 Foundation Grants 프로그램, Aleph Zero Ecosystem Funding Program 및 Stellar Community Fund의 보조금을 통해 지원을 받았습니다.

보조금 프로그램	설명
	개념 증명 : 우리는 Buenos University of Buenos Aires의 Foundations and Tools for Software Engineering (LAFHIS)과 협력하여 탐지기를위한 분석 기술 및 도구를 설정하고 초기 취약성 클래스 및 코드 예제 목록을 작성했습니다. 보조금보기 \| 신청서. 프로토 타입 : Dylint로 제작 된 Linting Detectors를 사용하여 기능 프로토 타입을 구축하고 취약점 클래스, 탐지기 및 테스트 케이스 목록을 확장했습니다. 프로토 타입보기 \| 신청서.
	우리는 다중 단계 접근법을 갖춘 도구의 감지기의 정밀도 및 수를 개선했습니다. 여기에는 Aleph Zero Ecosystem 내의 프로젝트에 대한 수동 취약성 분석, 주요 프로젝트에 대한 도구에 대한 포괄적 인 테스트 및 탐지 정확도를 정제했습니다.
	우리는 Stellar의 스마트 계약 언어 인 Soroban에 대한 지원을 추가했습니다. 우리는 HTML 보고서와 같은 다양한 출력 형식을 포함하고 도구의 정밀도 및 리콜을 개선했으며 풀 요청으로 도구를 실행하기 위해 GitHub 조치를 추가했습니다.

Coinfabrik에 대해

우리 - Coinfabrik-는 사이버 보안에 대한 강력한 배경 지식을 가진 Web3를 전문으로하는 연구 개발 회사입니다. 2014 년에 설립 된 우리는 180 개가 넘는 블록 체인 관련 프로젝트, EVM 기반 및 Solana, Algorand, Stellar 및 Polkadot에서 작업했습니다. 개발 외에도 우리는 현재 기판, 견고성, 선명도, 녹, 청록 및 스텔라 소로반의 코드를 연구하고있는 수석 사이버 보안 전문가로 구성된 전용 사내 팀을 통해 보안 감사를 제공합니다.

우리 팀은 컴퓨터 과학 및 수학에 대한 학문적 배경을 가지고 있으며, 학술 간행물, 특허가 제품으로 전환 된 특허, 컨퍼런스 프레젠테이션을 포함한 사이버 보안 및 소프트웨어 개발에 중점을 둔 업무 경험이 있습니다. 또한, 우리는 Buenos University of Buenos Aires와의 지식 이전 및 오픈 소스 프로젝트에 대한 지속적인 협력을 가지고 있습니다.