Página Inicial>Código fonte JSP>Outras categorias
Baixar

Escoteiro: Ferramenta de Análise de Segurança - Ação do GitHub

O Scout é uma ferramenta extensível de código aberto destinado a ajudar a tinta! E os desenvolvedores e auditores de contratos inteligentes da Soroboan detectam questões e desvios de segurança comuns das melhores práticas.

Essa ferramenta ajudará os desenvolvedores a escrever contratos inteligentes seguros e mais robustos.

Nosso interesse nesse projeto vem de nossa experiência em auditoria manual e nosso uso de ferramentas comparáveis ​​em outros blockchains. Para melhorar a cobertura e a precisão, persistiremos nos esforços de pesquisa em técnicas de análise estática e dinâmica.

Como se integrar às ações do GitHub

Crie .github/workflows/scout.yml : 

 name : Scout-actions
on : [push]
jobs :
  analyze :
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
      - uses : coinfabrik/scout-actions@v3
        with :
          target : ' ./target '
          scout_args : (scout arguments)
          scout_extra_args : (scout extra arguments)

YML Descrição

  • Nome: Ações Escoteiras : Este é o nome da ação do GitHub, que será visualizada no painel do GitHub Actions.
  • ON: [Push] : Esta linha especifica o evento que acionará a ação. Nesse caso, a ação do Github dispara sempre que um empurrão é feito para o repositório.
  • Empregos : as ações do GitHub podem conter vários empregos. Nesse caso, apenas um trabalho chamado Analyze foi configurado.
  • Analisar : este é o nome do trabalho.
  • Runs-on: Ubuntu-Latest : Isso especifica o ambiente de tempo de execução do trabalho. Aqui, o trabalho será executado na versão mais recente do Ubuntu disponível.
  • Etapas : Esta é uma lista de tarefas a serem realizadas no trabalho. Nesse caso, existem duas tarefas.
  • Usos: ações/checkout@v4 : a primeira tarefa usa uma ação do github chamada 'checkout@v4'. Esta é uma ação predefinida que permite que ações do GitHub trabalhem com uma cópia do seu repositório.
  • Usos: coinfabrik/scout-aptions@v3 : a segunda tarefa usa a ação do github 'Scout-Aptions@v3', uma versão especificada por Coinfabrik.
  • Com e Target : './Target' : sob a tarefa 'Coinfabrik/scout-action@v3', uma opção adicional é configurada, que define um destino específico para a ação sob. Nesse caso, o destino é o caminho ./target , e Scout será executado no sub/projeto: ./target/Cargo.toml . Esse arquivo TOML no diretório de destino provavelmente possui as dependências e a configuração do projeto que serão submetidas a análise.
  • com/scout_args : permite substituir os argumentos atuais do Scout, o que faz com que ele gere um relatório de remarca que pode ser incluído posteriormente em PRs e ingressos. A maioria dos usuários não precisa mudar isso.
  • com/scout_extra_args : permite especificar argumentos extras para escoteiros, que serão adicionados ao já presente para a geração de relatórios de marcação. A maioria dos usuários não precisa mudar isso.

Em resumo, esse arquivo .yML configura uma ação do GitHub que ativa qualquer empurrão para o repositório. Quando acionado, ele verificará o repositório e depois executará a ação 'Scout-Atsation@V3' no caminho './target'.

Opções

Chave Descrição
target O caminho para a raiz do projeto a ser analisado pelo Scout. Pode ser um caminho de carga.toml e padrão para a raiz do repo.
scout_args Permite que você substitua os argumentos de Scout. O padrão torna a saída do escoteiro uma saída de marcação.
scout_extra_args Este parâmetro permite adicionar argumentos para a execução de escoteiros, mantendo o requerimento para a saída de marcação.

Detectores

Os detectores disponíveis para ações de escoteiros são os disponíveis para escoteiros em sua tinta! e versões de Soroban.

Exemplo completo 

 name : scout-workflow
on : [push]

jobs :
  nuevo-test :
    runs-on : ubuntu-latest
    permissions :
      pull-requests : write
      contents : write
      repository-projects : write
    steps :
      - name : checkout
        uses : actions/checkout@v4

      - name : do scout
        uses : coinfabrik/scout-actions@v3
        with :
          target : ' avoid-autokey-upgradable/avoid-autokey-upgradable-1/vulnerable-example '

      - uses : mshick/[email protected]
        with :
          message-path :  ${{ github.workspace }}/report.md

Agradecimentos

O Scout é um analisador de vulnerabilidade de código aberto desenvolvido pela equipe de pesquisa e desenvolvimento da Coinfabrik.

Recebemos apoio por meio de subsídios do Programa de Subsídios da Web3 Foundation, do Programa de Financiamento do Aleph Zero EcoSystem e do Stellar Community Fund.

Programa de concessão Descrição
Prova de conceito: Colaboramos com o laboratório de fundações e ferramentas para engenharia de software (LAFHIS) na Universidade de Buenos Aires para estabelecer técnicas e ferramentas de análise para nossos detectores, bem como para criar uma lista inicial de classes de vulnerabilidade e exemplos de código. Ver Grant | Formulário de inscrição.

Protótipo: construímos um protótipo em funcionamento usando detectores de linha construídos com DYLINT e expandimos a lista de classes de vulnerabilidade, detectores e casos de teste. Veja o protótipo | Formulário de inscrição.
Melhoramos a precisão e o número de detectores da ferramenta com uma abordagem multifásica. Isso incluiu uma análise manual de vulnerabilidades dos projetos no ecossistema Aleph Zero, testes abrangentes da ferramenta nos principais projetos e refinando sua precisão de detecção.
Fundo Comunitário Estelar Adicionamos apoio à linguagem contratual inteligente da Stellar, Soroban. Incluímos vários formatos de saída, como um relatório HTML, melhoramos a precisão e a recuperação da ferramenta e adicionamos uma ação do GitHub para executar a ferramenta com solicitações de tração.

Sobre Coinfabrik

Nós - Coinfabrik - somos uma empresa de pesquisa e desenvolvimento especializada em Web3, com uma forte experiência em segurança cibernética. Fundada em 2014, trabalhamos em mais de 180 projetos relacionados a blockchain, baseados em EVM e também para Solana, Algorand, Stellar e Polkadot. Além do desenvolvimento, oferecemos auditorias de segurança através de uma equipe interna dedicada de profissionais seniores de segurança cibernética, atualmente trabalhando no código em substrato, solidez, clareza, ferrugem, cerceta e soroban estelar.

Nossa equipe tem formação acadêmica em ciência da computação e matemática, com experiência de trabalho focada na segurança cibernética e no desenvolvimento de software, incluindo publicações acadêmicas, patentes se transformou em produtos e apresentações de conferências. Além disso, temos uma colaboração contínua em transferência de conhecimento e projetos de código aberto com a Universidade de Buenos Aires.

Licença

O Scout é licenciado e distribuído sob uma licença do MIT. Entre em contato conosco se você estiver procurando uma exceção aos termos.

Expandir
Informações adicionais
Aplicativos Relacionados
Recomendado para você
Informações Relacionadas Todos