scout actions

Scout是一种可扩展的开源工具，旨在帮助墨水！ Soroboan智能合同开发人员和审计师发现了常见的安全问题以及与最佳实践的偏差。

该工具将帮助开发人员编写安全，更健壮的智能合约。

我们对这个项目的兴趣来自我们在手动审核方面的经验以及对其他区块链中可比工具的使用。为了提高覆盖范围和精度，我们将坚持进行静态和动态分析技术的研究工作。

创建.github/workflows/scout.yml ：

 name : Scout-actions
on : [push]
jobs :
  analyze :
    runs-on : ubuntu-latest
    steps :
      - uses : actions/checkout@v4
      - uses : coinfabrik/scout-actions@v3
        with :
          target : ' ./target '
          scout_args : (scout arguments)
          scout_extra_args : (scout extra arguments)

• 姓名：侦察行动：这是GitHub动作的名称，将在GitHub Action仪表板上查看。
• ON：[PUSH] ：此行指定将触发操作的事件。在这种情况下，每当将推动推向存储库时，GitHub动作就会发射。
• 作业：GitHub动作可以包含多个工作。在这种情况下，仅设立了一个名为Analyze的工作。
• 分析：这是工作的名称。
• 运行：Ubuntu-latest ：这指定了作业的运行时环境。在这里，该作业将在最新的Ubuntu版本上运行。
• 步骤：这是要在工作中执行的任务列表。在这种情况下，有两个任务。
• 用途：Action/Checkout@V4 ：第一个任务使用称为“ Checkout@V4”的GitHub操作。这是一个预定义的动作，允许GitHub操作与存储库的副本一起使用。
• 用途：Coinfabrik/scout-actions@v3 ：第二个任务使用Coinfabrik指定的版本GitHub Action'Scout-actions@V3'。
• 使用和目标： './ target' ：在'Coinfabrik/scout-actions@v3'任务下，配置了一个附加选项，该选项设置了所在操作的特定目标。在这种情况下，目标是./target ./target/Cargo.toml目标目录中的此TOML文件可能具有进行分析的依赖项和项目配置。
• 使用/scout_args ：允许您覆盖侦察兵的当前参数，这使其生成了降价报告，后来可以包含在PRS和票证中。大多数用户无需更改此问题。
• 使用/scout_extra_args ：允许您为Scout指定额外的参数，该参数将添加到Markdown Report的生成中的已存在。大多数用户无需更改此问题。

简而言之，此.yml文件设置了一个github操作，该操作可在任何推送到存储库中激活。触发时，它将检查存储库，然后在'./target'路径上运行'scout-actions@v3'操作。

可用于侦察动作的探测器是用墨水搜索的探测器！和Soroban版本。

 name : scout-workflow
on : [push]

jobs :
  nuevo-test :
    runs-on : ubuntu-latest
    permissions :
      pull-requests : write
      contents : write
      repository-projects : write
    steps :
      - name : checkout
        uses : actions/checkout@v4

      - name : do scout
        uses : coinfabrik/scout-actions@v3
        with :
          target : ' avoid-autokey-upgradable/avoid-autokey-upgradable-1/vulnerable-example '

      - uses : mshick/[email protected]
        with :
          message-path :  ${{ github.workspace }}/report.md 

Scout是Coinfabrik的研发团队开发的开源漏洞分析仪。

我们通过Web3基金会赠款计划，Aleph Zere生态系统资金计划和Stellar社区基金的赠款获得了支持。

赠款计划	描述
	概念证明：我们与实验室合作了布宜诺斯艾利斯大学的软件工程基础和工具（LaFHIS），以为检测器建立分析技术和工具，并创建脆弱性类别和代码示例的初始列表。查看赠款|申请表。 原型：我们使用用dylint构建的覆盖探测器构建了功能性的原型，并扩展了脆弱性类，检测器和测试用例的列表。查看原型|申请表。
	我们通过多相方法提高了该工具的检测器的精度和数量。这包括对Aleph零生态系统项目中项目的手动脆弱性分析，对领导项目的工具进行全面测试以及提高其检测准确性。
	我们增加了对Stellar智能合同语言Soroban的支持。我们包括了各种输出格式，例如HTML报告，提高了工具的精度和召回率，并添加了GitHub操作以使用拉请请求运行该工具。

我们 - Coinfabrik-是一家专门从事Web3的研发公司，其网络安全背景很强。成立于2014年，我们从事了180多个与区块链相关的项目，包括EVM，以及Solana，Algorand，Stellar和Polkadot。除了开发之外，我们还通过专门的内部网络安全专业人员团队提供安全审核，目前正在从事底物，坚固，清晰，生锈，蓝绿色和Stellar Soroban的代码。

我们的团队在计算机科学和数学方面具有学术背景，其工作经验的重点是网络安全和软件开发，包括学术出版物，专利变成产品以及会议演讲。此外，我们与布宜诺斯艾利斯大学进行了知识转移和开源项目的持续合作。

侦察兵是根据MIT许可证获得许可和分配的。如果您正在寻找条款的例外，请与我们联系。