SolidityScan
SolidityScan 是一个基于云的工具,用于扫描 智能合约 代码,以查找漏洞并在缓解后生成审计报告。它扫描智能合约代码以检测安全漏洞和反模式。该工具集成到开发管道中,以分析代码并标记漏洞。它生成审计报告,突出显示代码中潜在的安全风险。 [1]
概述
SolidityScan 提供了一套全面的功能,旨在加强智能合约的安全性:[1]
- 快速扫描已部署的合约:用户可以快速扫描部署在受支持的浏览器上的合约。
- 项目扫描:该平台支持扫描托管在 GitHub 上的公共和私有存储库。
- 链上合约扫描:它使用户能够启动对部署在 Ethereum、Binance Smart Chain、Polygon、Avalanche 和 Fantom 网络上的合约的扫描。
- 文件上传和扫描:用户可以直接在平台上上传和扫描 .sol 文件。
- 报告生成和发布:该工具可以生成详细的漏洞报告,一旦问题得到解决,可以通过公共链接共享这些报告。
- 集成:SolidityScan 与 GitHub 存储库无缝集成,允许自动扫描私有存储库。
- SolidityScan SDK 和 Visual Studio Code 扩展:通过 SDK 和 Visual Studio Code 扩展提供其他功能,从而增强开发工作流程。
快速扫描
快速扫描允许用户通过检查其在受支持的浏览器上针对各种 区块链 网络的代码来快速评估已部署的智能合约。支持的网络包括 Ethereum (etherscan.io)、Binance Smart Chain (bscscan.com)、Polygon (polygonscan.com)、Fantom (ftmscan.com)、Avalanche (snowtrace.io)、Cronos (cronoscan.com)、Arbitrum (arbiscan.io)、Celo (celoscan.io)、Aurora (explorer.aurora.dev)、ReefScan (reefscan.com)、Optimism (optimism.io)、Buildbear (buildbear.io)、XDC (xdc.blocksscan.io)、Blockscout (blockscout.com) 和 Routescan (routescan.io)。 [2]
此功能简化了识别已部署合约中的漏洞的过程,从而确保跨多个区块链生态系统的高效安全评估。 [2]
扫描在线 Git 存储库
SolidityScan 提供了一个简单的项目扫描流程。用户首先在 SolidityScan 的网站上创建一个帐户。登录后,他们可以开始扫描他们的 solidity 项目。 [3]
首先,用户输入项目详细信息,例如项目名称及其 Git 存储库链接。他们应确保该链接指向包含 Solidity (.sol) 文件的存储库,该存储库在 Gitlab、GitHub 和 Bitbucket 等平台上受支持。对于私有存储库,用户从“集成”选项卡集成其 GitHub/Gitlab/Bitbucket 帐户,并指定存储库是公共的还是私有的。 [3]
接下来,用户选择包含要扫描的项目的分支,默认为 GitHub 上的主分支。他们还可以选择特定的 .sol 文件和文件夹进行扫描;其他文件类型将被排除。 [3]
SolidityScan 提供了为 Git Actions 设置 Webhook 的选项,当新提交被推送到分支时,会自动触发扫描。此功能支持用户拥有的 GitHub、Bitbucket 和 Gitlab 存储库。 [3]
配置设置后,用户单击“开始扫描”开始扫描。他们会监控进度并在完成后查看详细结果。 [3]
扫描后,用户可以访问全面的结果,包括安全状态的概述以及有关已识别问题和漏洞的详细信息。详细结果提供了对各个问题的深入了解,并提供了展开描述和管理代码视图可见性的选项。 [3]
SolidityScan 允许用户根据严重性、漏洞检测的置信度以及错误状态(例如,“不会修复”或“误报”)来过滤和更新错误状态。用户可以提供评论以提高扫描仪性能。 [3]
扫描历史记录功能允许用户查看过去和重新扫描,而设置允许更新文件和目录以供将来扫描。Webhook 设置通过 GitHub Actions 管理正在进行的安全监控。 [3]
扫描已部署的合约
SolidityScan 提供了一项功能,用于扫描特定的已部署合约,这些合约的代码可以在各种区块链网络上受支持的浏览器上访问。这些网络包括 Ethereum (etherscan.io)、Binance Smart Chain (bscscan.com)、Polygon (polygonscan.com)、Fantom (ftmscan.com)、Avalanche (snowtrace.io)、Cronos (cronoscan.com)、Arbitrum (arbiscan.io)、Celo (celoscan.io)、Aurora (explorer.aurora.dev)、ReefScan (reefscan.com)、Optimism (optimism.io)、Buildbear (buildbear.io)、XDC (xdc.blockscan.io)、Blockscout (blockscout.com) 和 Routescan (routescan.io)。 [4]
此功能允许用户通过利用各自的浏览器平台来评估已部署智能合约的安全性和完整性。它可以验证代码漏洞,并确保基于区块链的应用程序安全评估的透明度。 [4]
组织
SolidityScan 允许 Pro 和 Custom 计划用户创建和管理组织。此功能使用户能够将成员添加到他们的组织,并根据资源访问需求分配特定的角色。重要的是,添加到组织的成员本身不需要有效的计划,从而促进了平台内无缝的协作和资源管理。 [5]
Buddy 计划
SolidityScan 的 Buddy 计划在不同的垂直领域提供多个合作机会:[6]
- 战略合作伙伴或附属公司专注于在他们的网络中推广 SolidityScan,而无需进行品牌重塑。他们可以赚取税后销售额的 15%。
- 创新合作伙伴或安全层合作伙伴将 SolidityScan 集成到他们的 web3 项目中,为用户提供专门的促销代码以进行试用扫描。他们可以从每月无限次的 API 调用中受益,并参与联合营销活动。
- 审计合作伙伴,特别是对于 Credshields,遵循与创新合作伙伴类似的佣金结构。
