SolidityScan은 취약성을 찾고 완화 후 감사 보고서를 생성하기 위해 스마트 계약 코드를 스캔하는 클라우드 기반 도구입니다. 스마트 계약 코드를 스캔하여 보안 취약성과 반 패턴을 감지합니다. 이 도구는 개발 파이프라인에 통합되어 코드를 분석하고 취약성을 플래그로 표시합니다. 코드의 잠재적인 보안 위험을 강조하는 감사 보고서를 생성합니다. ^[1]

개요

SolidityScan은 스마트 계약 보안 강화를 목표로 하는 포괄적인 기능 세트를 제공합니다: ^[1]

1. 배포된 계약에 대한 빠른 스캔: 사용자는 지원되는 탐색기에서 배포된 계약을 신속하게 스캔할 수 있습니다.

2. 프로젝트 스캔: 이 플랫폼은 GitHub에 호스팅된 공용 및 비공개 저장소 모두의 스캔을 지원합니다.

3. 온체인 계약 스캔: 사용자는 Ethereum, Binance Smart Chain, Polygon, Avalanche 및 Fantom 네트워크에 배포된 계약에 대한 스캔을 시작할 수 있습니다.

4. 파일 업로드 및 스캔: 사용자는 플랫폼에서 직접 .sol 파일을 업로드하고 스캔할 수 있습니다.  

5. 보고서 생성 및 게시: 이 도구는 문제가 해결된 후 공개 링크를 통해 공유할 수 있는 자세한 취약성 보고서 생성을 지원합니다.   

6. 통합: SolidityScan은 GitHub 저장소와 원활하게 통합되어 비공개 저장소의 자동 스캔을 허용합니다.   

7. SolidityScan SDK 및 Visual Studio Code 확장 프로그램: 추가 기능은 SDK 및 Visual Studio Code 확장 프로그램을 통해 제공되며 개발 워크플로를 향상시킵니다.

빠른 스캔

빠른 스캔을 통해 사용자는 지원되는 탐색기에서 다양한 블록체인 네트워크의 코드를 확인하여 배포된 스마트 계약을 신속하게 평가할 수 있습니다. 지원되는 네트워크에는 Ethereum (etherscan.io), Binance Smart Chain (bscscan.com), Polygon (polygonscan.com), Fantom (ftmscan.com), Avalanche (snowtrace.io), Cronos (cronoscan.com), Arbitrum (arbiscan.io), Celo (celoscan.io), Aurora (explorer.aurora.dev), ReefScan (reefscan.com), Optimism (optimism.io), Buildbear (buildbear.io), XDC (xdc.blocksscan.io), Blockscout (blockscout.com) 및 Routescan (routescan.io)이 포함됩니다. ^[2]

이 기능은 배포된 계약의 취약성을 식별하는 프로세스를 간소화하여 여러 블록체인 생태계에서 효율적인 보안 평가를 보장합니다. ^[2]

온라인 Git 저장소 스캔

​​SolidityScan은 프로젝트 스캔을 위한 간단한 프로세스를 제공합니다. 사용자는 SolidityScan 웹사이트에서 계정을 생성하여 시작합니다. 로그인하면 solidity 프로젝트에 대한 스캔을 시작할 수 있습니다. ^[3]

먼저 사용자는 프로젝트 이름 및 Git 저장소 링크와 같은 프로젝트 세부 정보를 입력합니다. 링크가 Gitlab, GitHub 및 Bitbucket과 같은 플랫폼에서 지원되는 Solidity (.sol) 파일이 포함된 저장소로 연결되는지 확인해야 합니다. 비공개 저장소의 경우 사용자는 통합 탭에서 GitHub/Gitlab/Bitbucket 계정을 통합하고 저장소가 공개인지 비공개인지 지정합니다. ^[3]

다음으로 사용자는 스캔할 프로젝트가 포함된 브랜치를 선택합니다(GitHub의 기본 브랜치가 기본값임). 스캔할 특정 .sol 파일과 폴더를 선택할 수도 있습니다. 다른 파일 형식은 제외됩니다. ^[3]

SolidityScan은 새로운 커밋이 브랜치에 푸시될 때 자동으로 스캔을 트리거하는 Git Actions에 대한 웹후크를 설정하는 옵션을 제공합니다. 이 기능은 사용자가 소유한 GitHub, Bitbucket 및 Gitlab 저장소를 지원합니다. ^[3]

설정을 구성한 후 사용자는 스캔 시작을 클릭하여 스캔을 시작합니다. 완료되면 진행 상황을 모니터링하고 자세한 결과를 검토합니다. ^[3]

스캔 후 사용자는 보안 상태 개요와 식별된 문제 및 취약성에 대한 세부 정보를 포함한 포괄적인 결과에 액세스할 수 있습니다. 자세한 결과는 개별 문제에 대한 통찰력을 제공하며 설명을 확장하고 코드 보기 가시성을 관리하는 옵션이 있습니다. ^[3]

SolidityScan을 사용하면 사용자는 심각도, 취약성 감지에 대한 신뢰도 및 버그 상태(예: 수정하지 않음 또는 오탐)에 따라 버그 상태를 필터링하고 업데이트할 수 있습니다. 사용자는 스캐너 성능을 개선하기 위해 의견을 제공할 수 있습니다. ^[3]

스캔 기록 기능을 통해 사용자는 과거 및 재스캔을 검토할 수 있으며, 설정을 통해 향후 스캔을 위한 파일 및 디렉토리를 업데이트할 수 있습니다. 웹후크 설정은 GitHub Actions를 통해 지속적인 보안 모니터링을 관리합니다. ^[3]

배포된 계약 스캔

SolidityScan은 다양한 블록체인 네트워크에서 지원되는 탐색기에서 코드에 액세스할 수 있는 특정 배포된 계약을 스캔하는 기능을 제공합니다. 이러한 네트워크에는 Ethereum (etherscan.io), Binance Smart Chain (bscscan.com), Polygon (polygonscan.com), Fantom (ftmscan.com), Avalanche (snowtrace.io), Cronos (cronoscan.com), Arbitrum (arbiscan.io), Celo (celoscan.io), Aurora (explorer.aurora.dev), ReefScan (reefscan.com), Optimism (optimism.io), Buildbear (buildbear.io), XDC (xdc.blockscan.io), Blockscout (blockscout.com) 및 Routescan (routescan.io)이 포함됩니다. ^[4]

이 기능을 통해 사용자는 해당 탐색기 플랫폼을 활용하여 배포된 스마트 계약의 보안 및 무결성을 평가할 수 있습니다. 코드 취약성을 확인하고 블록체인 기반 애플리케이션 보안 평가의 투명성을 보장합니다. ^[4]

조직

SolidityScan은 Pro 및 Custom 플랜 사용자가 조직을 생성하고 관리할 수 있도록 합니다. 이 기능을 통해 사용자는 조직에 구성원을 추가하고 리소스 액세스 요구 사항에 따라 특정 역할을 할당할 수 있습니다. 중요한 점은 조직에 추가된 구성원은 활성 플랜이 필요하지 않으므로 플랫폼 내에서 원활한 협업과 리소스 관리가 가능합니다. ^[5]

버디 프로그램

SolidityScan의 버디 프로그램은 다양한 분야에서 여러 파트너십 기회를 제공합니다: ^[6]

• 전략적 파트너 또는 제휴사는 리브랜딩 없이 자체 네트워크 내에서 SolidityScan을 홍보하는 데 중점을 둡니다. 세후 판매 가치의 15%를 수익으로 얻습니다.
• 혁신 파트너 또는 보안 계층 파트너는 SolidityScan을 자체 web3 프로젝트에 통합하여 사용자에게 체험 스캔을 위한 전용 프로모션 코드를 제공합니다. 월별 무제한 API 호출 혜택을 받고 공동 마케팅 활동에 참여합니다.
• 감사 파트너(특히 Credshields의 경우)는 혁신 파트너와 유사한 수수료 구조를 따릅니다.