scout actions

Scout-это расширяемый инструмент с открытым исходным кодом, предназначенный для помощи чернила! А разработчики и аудиторы Soroboan Smart Contract обнаруживают общие проблемы безопасности и отклонений от лучших практик.

Этот инструмент поможет разработчикам написать безопасные и более надежные интеллектуальные контракты.

Наш интерес к этому проекту исходит из нашего опыта в области ручного аудита и нашего использования сопоставимых инструментов в других блокчейнах. Чтобы улучшить охват и точность, мы сохраним исследовательские усилия по статическим и динамическим методам анализа.

Создать .github/workflows/scout.yml :

 name : Scout-actions
on : [push]
jobs :
  analyze :
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
      - uses : coinfabrik/scout-actions@v3
        with :
          target : ' ./target '
          scout_args : (scout arguments)
          scout_extra_args : (scout extra arguments)

• Имя: Скаутские действия : это имя действия GitHub, которое будет просмотреть на панели управления GitHub Actions.
• В: [push] : эта строка указывает событие, которое запустит действие. В этом случае действие GitHub стреляет всякий раз, когда вступает в репозиторий.
• Работа : Действия GitHub могут содержать несколько рабочих мест. В этом случае была установлена ​​только одна задание с именем.
• Анализ : Это название работы.
• Runs-on: Ubuntu-Latest : это определяет среду выполнения для работы. Здесь работа будет работать на последней доступной версии Ubuntu.
• Шаги : это список задач, которые должны выполняться на работе. В этом случае есть две задачи.
• Использование: Action/Checkout@v4 : первая задача использует действие GitHub с именем «Checkout@v4». Это предопределенное действие, которое позволяет действиям GitHub работать с копией вашего репозитория.
• Использование: Coinfabrik/Scout-Actions@v3 : вторая задача использует действие GitHub 'Scout-Actions@v3', версия, указанная Coinfabrik.
• С и целью : './target' : в соответствии с задачей «Coinfabrik/Scout-Actions@v3», настройка дополнительная опция с установленной целью для действия. В этом случае целью является путь ./target , а скаут будет работать на Sub/Project: ./target/Cargo.toml . Этот файл TOML в целевом каталоге, вероятно, имеет зависимости и конфигурацию проекта, которые будут подвергаться анализу.
• С/scout_args : позволяет перезаписать текущие аргументы для Scout, что заставляет его генерировать отчет об отметке, который впоследствии может быть включен в PRS и билеты. Большинству пользователей не нужно это менять.
• с/scout_extra_args : позволяет вам указать дополнительные аргументы для Scout, которые будут добавлены в уже присутствующее для генерации отчетов Markdown. Большинству пользователей не нужно это менять.

Короче говоря, этот файл .yml устанавливает действие GitHub, которое активирует любой толчок к репозиторию. При срабатывании он проверит репозиторий, а затем запустит действие «Скаутские действия@v3» на пути «./Target».

Детекторы, доступные для разведчиков, доступны для скаутов в его чернилах! и версии Соробана.

 name : scout-workflow
on : [push]

jobs :
  nuevo-test :
    runs-on : ubuntu-latest
    permissions :
      pull-requests : write
      contents : write
      repository-projects : write
    steps :
      - name : checkout
        uses : actions/checkout@v4

      - name : do scout
        uses : coinfabrik/scout-actions@v3
        with :
          target : ' avoid-autokey-upgradable/avoid-autokey-upgradable-1/vulnerable-example '

      - uses : mshick/[email protected]
        with :
          message-path :  ${{ github.workspace }}/report.md 

Scout - это анализатор уязвимости с открытым исходным кодом, разработанный командой исследований и разработок Coinfabrik.

Мы получили поддержку посредством грантов от программы Foundation Grants Foundation, программы финансирования Aleph Zero Ecosystem и фонда звездного сообщества.

Грантовая программа	Описание
	Доказательство концепции: мы сотрудничали с лабораторией по фондам и инструментам для разработки программного обеспечения (LAFHIS) в Университете Буэнос -Айреса для создания методов анализа и инструментов для наших детекторов, а также для создания первоначального списка классов уязвимости и примеров кода. Посмотреть грант | Форма заявления. Прототип: Мы создали функционирующий прототип с использованием детекторов в личинке, построенных с Dylint, и расширили список классов уязвимости, детекторов и тестовых случаев. Посмотреть прототип | Форма заявления.
	Мы улучшили точность и количество детекторов для инструмента с многофазным подходом. Это включало ручный анализ уязвимости проектов в экосистеме Aleph Zero, комплексное тестирование инструмента на ведущих проектах и ​​уточнение точности обнаружения.
	Мы добавили поддержку для умного языка контракта Stellar, Soroban. Мы включили различные выходные форматы, такие как отчет HTML, улучшили точность и отзыв инструмента и добавили действие GitHub для запуска инструмента с помощью запросов на вытяжение.

Мы - Coinfabrik - это исследовательская и разработанная компания, специализирующаяся на Web3, с сильным опытом в области кибербезопасности. Основанная в 2014 году, мы работали над более чем 180 проектами, связанными с блокчейном, на базе EVM, а также для Solana, Algorand, Stellar и Polkadot. Помимо разработки, мы предлагаем аудиты безопасности через специальную внутреннюю команду старших специалистов по кибербезопасности, в настоящее время работая над кодом на субстрате, прочности, ясности, ржавчине, чирке и звездном соробане.

Наша команда имеет академический опыт работы в области компьютерных наук и математики, с опытом работы, ориентированным на кибербезопасность и разработку программного обеспечения, включая академические публикации, патенты, превращенные в продукты и презентации конференции. Кроме того, у нас постоянное сотрудничество в области передачи знаний и проектов с открытым исходным кодом в Университете Буэнос-Айреса.

Разведчик лицензирован и распределен по лицензии MIT. Свяжитесь с нами, если вы ищете исключение из терминов.