slither

เข้าร่วม Empire Hacking Slack

_{- การสนทนาและการสนับสนุน}

Slither เป็นเฟรมเวิร์กการวิเคราะห์แบบคงที่ของ Solidity & Vyper ที่เขียนด้วย Python3 โดยรันชุดเครื่องตรวจจับช่องโหว่ พิมพ์ข้อมูลภาพเกี่ยวกับรายละเอียดสัญญา และจัดเตรียม API เพื่อเขียนการวิเคราะห์ที่กำหนดเองได้อย่างง่ายดาย Slither ช่วยให้นักพัฒนาสามารถค้นหาช่องโหว่ ปรับปรุงความเข้าใจโค้ด และสร้างต้นแบบการวิเคราะห์แบบกำหนดเองได้อย่างรวดเร็ว

• คุณสมบัติ
• การใช้งาน
• วิธีการติดตั้ง
  • การใช้ปิ๊ป
  • การใช้คอมไพล์
  • การใช้นักเทียบท่า
  • บูรณาการ
• เครื่องตรวจจับ
• เครื่องพิมพ์
  • ตรวจสอบเครื่องพิมพ์ด่วน
  • เครื่องพิมพ์ตรวจสอบเชิงลึก
• เครื่องมือ
• เอกสาร API
• การขอความช่วยเหลือ
• คำถามที่พบบ่อย
• ใบอนุญาต
• สิ่งตีพิมพ์
  • สิ่งพิมพ์ Trail of Bits
  • สิ่งพิมพ์ภายนอก

• ตรวจจับรหัส Solidity ที่มีช่องโหว่โดยมีผลบวกลวงต่ำ (ดูรายการถ้วยรางวัล)
• ระบุตำแหน่งที่เกิดข้อผิดพลาดในซอร์สโค้ด
• บูรณาการเข้ากับการบูรณาการอย่างต่อเนื่องและการสร้าง Hardhat/Foundry ได้อย่างง่ายดาย
• 'เครื่องพิมพ์' ในตัวรายงานข้อมูลสัญญาที่สำคัญได้อย่างรวดเร็ว
• Detector API เพื่อเขียนการวิเคราะห์ที่กำหนดเองใน Python
• ความสามารถในการวิเคราะห์สัญญาที่เขียนด้วย Solidity >= 0.4
• การแสดงค่าระดับกลาง (SlithIR) ช่วยให้สามารถวิเคราะห์ได้ง่ายและมีความแม่นยำสูง
• แยกวิเคราะห์ 99.9% ของรหัส Solidity สาธารณะทั้งหมดอย่างถูกต้อง
• เวลาดำเนินการเฉลี่ยน้อยกว่า 1 วินาทีต่อสัญญา
• ผสานรวมกับการสแกนโค้ดของ Github ใน CI
• รองรับสัญญาอัจฉริยะของ Vyper

เรียกใช้ Slither บนแอปพลิเคชัน Hardhat/Foundry/Dapp/Brownie:

 slither .

นี่เป็นตัวเลือกที่แนะนำหากโปรเจ็กต์ของคุณมีการขึ้นต่อกัน เนื่องจาก Slither อาศัยเฟรมเวิร์กการคอมไพล์พื้นฐานในการคอมไพล์ซอร์สโค้ด

อย่างไรก็ตาม คุณสามารถเรียกใช้ Slither บนไฟล์เดียวที่ไม่ได้นำเข้าการขึ้นต่อกัน:

 slither tests/uninitialized.sol 

บันทึก
Slither ต้องการ Python 3.8+ หากคุณจะ ไม่ ใช้หนึ่งในเฟรมเวิร์กการคอมไพล์ที่รองรับ คุณต้องมี solc ซึ่งเป็นคอมไพเลอร์ Solidity เราขอแนะนำให้ใช้ solc-select เพื่อสลับระหว่างเวอร์ชัน solc ได้อย่างสะดวก

 python3 -m pip install slither-analyzer

git clone https://github.com/crytic/slither.git && cd slither
python3 -m pip install .

เราขอแนะนำให้ใช้สภาพแวดล้อมเสมือน Python ตามรายละเอียดในคำแนะนำในการติดตั้งสำหรับนักพัฒนา หากคุณต้องการติดตั้ง Slither ผ่าน git

ใช้อิมเมจนักเทียบท่ากล่อง eth-security-toolbox ประกอบด้วยเครื่องมือรักษาความปลอดภัยทั้งหมดของเราและ Solidity เวอร์ชันหลักทุกเวอร์ชันไว้ในรูปภาพเดียว /home/share จะถูกเมานท์ไปที่ /share ในคอนเทนเนอร์

docker pull trailofbits/eth-security-toolbox

หากต้องการแชร์ไดเร็กทอรีในคอนเทนเนอร์:

docker run -it -v /home/share:/share trailofbits/eth-security-toolbox

• สำหรับการผสานการทำงาน GitHub ให้ใช้ slither-action
• สำหรับการรวมระบบล่วงหน้า ให้ใช้ (แทนที่ $GIT_TAG ด้วยแท็กจริง)

  - repo : https://github.com/crytic/slither
    rev : $GIT_TAG
    hooks :
      - id : slither

• หากต้องการสร้างรายงาน Markdown ให้ใช้ slither [target] --checklist
• หากต้องการสร้าง Markdown ด้วยการไฮไลต์ซอร์สโค้ด GitHub ให้ใช้ slither [target] --checklist --markdown-root https://github.com/ORG/REPO/blob/COMMIT/ (แทนที่ ORG , REPO , COMMIT )

สำหรับข้อมูลเพิ่มเติม โปรดดู

• เอกสารประกอบตัวตรวจจับสำหรับรายละเอียดเกี่ยวกับตัวตรวจจับแต่ละตัว
• การเลือกการตรวจจับเพื่อเรียกใช้เครื่องตรวจจับที่เลือกเท่านั้น ตามค่าเริ่มต้น ตัวตรวจจับทั้งหมดจะทำงาน
• โหมด Triage เพื่อกรองผลลัพธ์แต่ละรายการ

• human-summary : พิมพ์สรุปสัญญาที่มนุษย์สามารถอ่านได้
• inheritance-graph : ส่งออกกราฟมรดกของแต่ละสัญญาเป็นไฟล์จุด
• contract-summary : พิมพ์สรุปสัญญา
• loc : นับจำนวนบรรทัดทั้งหมดของโค้ด (LOC), บรรทัดซอร์สของโค้ด (SLOC) และบรรทัดความคิดเห็นของโค้ด (CLOC) ที่พบในไฟล์ต้นฉบับ (SRC), การขึ้นต่อกัน (DEP) และไฟล์ทดสอบ (TEST)

• call-graph : ส่งออกกราฟการโทรของสัญญาไปยังไฟล์ dot
• cfg : ส่งออก CFG ของแต่ละฟังก์ชัน
• function-summary : พิมพ์สรุปฟังก์ชัน
• vars-and-auth : พิมพ์ตัวแปรสถานะที่เขียนและการอนุญาตฟังก์ชัน
• not-pausable : ฟังก์ชั่นการพิมพ์ที่ไม่ได้ใช้ whenNotPaused modifier

หากต้องการเรียกใช้เครื่องพิมพ์ ให้ใช้ --print และรายการเครื่องพิมพ์ที่คั่นด้วยเครื่องหมายจุลภาค

ดูเอกสารประกอบของเครื่องพิมพ์สำหรับรายการทั้งหมด

• slither-check-upgradeability : ตรวจสอบความสามารถในการอัปเกรดตามการเรียก delegatecall
• slither-prop : การทดสอบหน่วยอัตโนมัติและการสร้างคุณสมบัติ
• slither-flat : ทำให้โค้ดเบสเรียบขึ้น
• slither-check-erc : ตรวจสอบความสอดคล้องของ ERC
• slither-format : การสร้างแพตช์อัตโนมัติ
• slither-read-storage : อ่านค่าพื้นที่เก็บข้อมูลจากสัญญา
• slither-interface : สร้างอินเทอร์เฟซสำหรับสัญญา

ดูเอกสารประกอบเครื่องมือสำหรับเครื่องมือเพิ่มเติม

ติดต่อเราเพื่อขอความช่วยเหลือในการสร้างเครื่องมือแบบกำหนดเอง

เอกสารเกี่ยวกับระบบภายในของ Slither มีอยู่ที่นี่

อย่าลังเลที่จะแวะมาที่ช่อง Slack ของเรา (#ethereum) เพื่อขอความช่วยเหลือในการใช้หรือขยาย Slither

• เอกสารประกอบของเครื่องพิมพ์จะอธิบายข้อมูลที่ Slither สามารถสร้างภาพให้กับสัญญาแต่ละฉบับได้

• เอกสารประกอบของ Detector อธิบายวิธีเขียนการวิเคราะห์ช่องโหว่ใหม่

• เอกสารประกอบ API อธิบายวิธีการและออบเจ็กต์ที่พร้อมใช้งานสำหรับการวิเคราะห์แบบกำหนดเอง

• เอกสาร SlithIR อธิบายการแสดงระดับกลางของ SlithIR

ฉันจะยกเว้นการจำลองหรือการทดสอบได้อย่างไร

• ดูเอกสารของเราเกี่ยวกับการกรองเส้นทาง

ฉันจะแก้ไขปัญหา "ไฟล์ที่ไม่รู้จัก" หรือการคอมไพล์ได้อย่างไร

• เนื่องจากตัวเลื่อนต้องใช้ solc AST จึงต้องมีการขึ้นต่อกันทั้งหมด หากสัญญามีการขึ้นต่อกัน slither contract.sol จะล้มเหลว ให้ใช้ slither . แทน ในไดเรกทอรีหลักของ contracts/ (คุณควรเห็น contracts/ เมื่อคุณรัน ls ) หากคุณมีโฟลเดอร์ node_modules/ จะต้องอยู่ในไดเร็กทอรีเดียวกันกับ contracts/ เพื่อตรวจสอบว่าปัญหานี้เกี่ยวข้องกับ slither ให้รันคำสั่งการคอมไพล์สำหรับเฟรมเวิร์กที่คุณใช้ เช่น npx hardhat compile นั่นจะต้องทำงานให้สำเร็จ มิฉะนั้น เอ็นจิ้นการคอมไพล์ของ slither ซึ่งเป็นการคอมไพล์แบบคริติกไม่สามารถสร้าง AST ได้

Slither ได้รับใบอนุญาตและจัดจำหน่ายภายใต้ใบอนุญาต AGPLv3 ติดต่อเราหากคุณกำลังมองหาข้อยกเว้นสำหรับข้อกำหนด

• Slither: กรอบการวิเคราะห์แบบคงที่สำหรับสัญญาอัจฉริยะ, Josselin Feist, Gustavo Grieco, Alex Groce - WETSEB '19

หากคุณกำลังใช้ Slither ในงานวิชาการ ลองสมัครเพื่อรับรางวัล Crytic มูลค่า 10,000 ดอลลาร์