首页>JSP源码>其他类别
下载

amarna

Amarna是开罗编程语言的静态分析仪和衬里。

特征

  • 在开罗代码中查找代码杂志和潜在漏洞
  • 开罗代码和starknet合同的编译器相同解析
  • 支持创建本地和全球规则
  • 导出开罗文件的AST
  • 出口静态分析结果为SARIF格式。

基本用法

分析当前目录中的开罗项目,并将SARIF结果导出到文件: 

amarna . -o out.sarif

分析单个文件file.cairo并将SARIF结果导出到文件: 

amarna file.cairo -o out.sarif

分析单个文件file.cairo并打印结果摘要: 

amarna file.cairo -s

一体化

  • 对于GitHub作用集成,请使用amarna-action。

当前支持的规则

规则它找到的影响精确
1算术操作算术操作的所有用途 +, - , *和 /信息高的
2未使用的论点它们出现的功能中未使用的函数参数警告高的
3未使用的进口未使用的进口信息高的
4错误的装饰器错误的代码装饰器信息高的
5未使用的功能从未被调用的功能信息中等的
6错误代码具有必须检查的返回值的函数调用信息高的
7不一致的说法断言以不同方式使用相同常数的断言,例如, assert_le(amount, BOUND)assert_le(amount, BOUND - 1)警告高的
8死商店分配值但在返回语句之前未使用的变量信息中等的
9未检查的溢出忽略返回溢出标志的函数调用,例如, uint256_add警告高的
10呼叫者地址返回值函数调用到get_caller_address函数。信息高的
11存储变量碰撞多个@storage_var具有相同名称。 (弃用)警告高的
12隐式函数导入使用Decorator @external, @view, @l1_handler函数,该功能被隐式导入。 (弃用)信息高的
13未经执行的视图功能@view功能中的状态修改信息高的
14非初始化的变量从未初始化的本地变量。信息高的

用法

分析当前目录中的开罗项目,并将结果导出到文件: 

amarna . -o out.sarif

分析单个文件deleverage.cairo和导出结果: 

amarna deleverage.cairo -o deleverage.sarif

分析单个文件code.cairo并打印结果摘要: 

amarna code.cairo -s

解析开罗文件并输出png中恢复的AST: 

amarna file.cairo -png

用UNUSED_IMPORT规则分析开罗文件: 

amarna file.cairo --rules=unused-imports

使用所有规则除外的所有规则分析开罗文件: 

amarna file.cairo --except-rules=arithmetic-add

完整的帮助菜单是: 

 usage: amarna [-h] [-p] [-o OUTPUT] [-s] [-png] [-rules RULES] [-exclude-rules EXCLUDE_RULES] [-show-rules] [-disable-inline] -f

Amarna is a static-analyzer for the Cairo programming language.

positional arguments:
  -f                    the name of the .cairo file or directory with .cairo files to analyze

optional arguments:
  -h, --help            show this help message and exit
  -p, --print           print output
  -o OUTPUT, --output OUTPUT
                        file to write the output results in sarif format
  -s, -summary, --summary
                        output summary
  -png, --png           save a png with the AST of a file
  -rules RULES, --rules RULES
                        Only run this set of rules. Enter rule names comma-separated, e.g., dead-store,unused-arguments
  -exclude-rules EXCLUDE_RULES, --exclude-rules EXCLUDE_RULES
                        Exclude these rules from the analysis. Enter rule names comma-separated, e.g., dead-store,unused-arguments
  -show-rules, --show-rules
                        Show all supported rules and descriptions.
  -disable-inline, --disable-inline
                        Disable rules with inline comments. The comments should be the first line and of the form: # amarna: disable=rulename1,rulename2

SARIF文件格式

SARIF文件格式是用于静态分析工具的标准格式,可以在VSCODE中查看官方扩展名。

安装

pip install amarna

规则如何工作

静态分析规则可能是:

  • 本地规则,该规则独立分析每个文件。
  • Gatherer规则,该规则独立分析每个文件并收集以在后过程规则中使用的数据。
  • 在分析所有文件后运行的后处理规则可以使用收集者规则中收集的数据。

这些例子是:

  • 本地规则:在文件中找到所有算术操作
  • 收集者规则:收集所有声明的功能,并称为功能
  • 后处理规则:使用收集的数据(即声明但从未调用)的函数找到未使用的功能。

规则允许列表,否定主义者和内联评论

规则名称

获取当前实施规则的名称: 

 amarna --show-rules

规则允许列表

使用一套定义的规则运行Amarna 

 amarna --rules=rule1,rule2 .

以下命令只会运行unused-imports规则并打印摘要结果

 amarna --rules=unused-imports . -s

规则否认者

除了使用定义的规则集以外,运行Amarna 

 amarna --exclude-rules=arithmetic-add,arithmetic-sub . -s

内联规则禁用评论

您可以更改开罗文件的第一行,以禁用该文件上的特定规则。例如,添加行

 // amarna: disable=arithmetic-div,arithmetic-sub,arithmetic-mul,arithmetic-add

作为第一行file.cairo和与

amarna directory/ --disable-inline -s

不会向file.cairo文件报告任何算法规则。

展开
附加信息
相关应用
为您推荐
相关资讯 全部