*** Security Toolbox 中文技术文档

镜像概述和主要用途

*** Security Toolbox 是一个预安装和预配置了 Trail of Bits 所有安全工具的 Docker 容器镜像。该镜像旨在为智能合约开发和审计提供一站式安全测试环境，集成了静态分析、模糊测试、编译器版本管理等多种工具，简化安全测试流程，提升开发和审计效率。

核心功能和特性

集成的核心安全工具

• Trail of Bits 开发工具

  • Echidna：基于属性的模糊测试工具，用于检测智能合约中的逻辑漏洞
  • Medusa：基于 go-*** 的模糊测试工具，支持复杂状态空间探索
  • Slither：智能合约静态分析框架，可检测常见漏洞和代码优化问题
  • solc-select：Solidity 编译器版本管理工具，支持快速切换不同版本
  • Building secure contracts：安全合约开发指南及示例代码库

• 第三方工具

  • Foundry：***应用开发工具包，包含 Forge（测试框架）和 Cast（***交互工具）
  • Vyper：EVM 智能合约语言，语法类似 Python
  • n：Node.js 版本管理工具
  • npm 和 Yarn：JavaScript 包管理工具
  • Python：编程语言及相关工具链

使用场景和适用范围

• 智能合约开发阶段：开发人员可在本地快速进行安全测试，集成静态分析和模糊测试工具，提前发现潜在漏洞。
• 智能合约审计流程：审计人员无需手动配置多种工具，直接使用预配置环境进行高效审计。
• CI/CD 流程集成：作为 CI 环境的基础镜像，自动化执行安全测试步骤，确保代码提交前通过安全检查。
• 安全研究与教育：学***智能合约安全测试方法，实践多种工具的组合使用。

使用方法和配置说明

快速开始

拉取预构建镜像

使用预构建的 Docker 镜像可快速启动工具集：

shell
docker pull ghcr.io/trailofbits/eth-security-toolbox:nightly
docker run -it ghcr.io/trailofbits/eth-security-toolbox:nightly

本地构建镜像

如需从源码构建镜像：

shell
git clone [***]
cd eth-security-toolbox
docker build -t eth-security-toolbox .

基本使用

启动容器

直接运行容器实例进入交互式环境：

shell
docker run -it ghcr.io/trailofbits/eth-security-toolbox:nightly

Solidity 编译器版本管理

镜像通过 solc-select 预安装了多个 Solidity 版本，默认使用最新版本。可通过以下命令管理版本：

• 查看当前版本：

  shell
  solc --version
  

• 切换版本（例如切换到 0.4.26）：

  shell
  solc-select use 0.4.26
  

• 列出已安装版本：

  shell
  solc-select versions
  

• 安装新版本（例如安装 0.8.0）：

  shell
  solc-select install 0.8.0
  

Node.js 版本管理

镜像预装了 Node.js LTS 版本及版本管理器 n，可通过以下命令安装其他版本（需使用 sudo）：

shell
sudo n 14  # 安装 Node.js v14
node --version  # 验证版本

CI 环境使用

CI 专用镜像

GitHub Container Registry 提供轻量级 CI 专用镜像 ghcr.io/trailofbits/eth-security-toolbox/ci，特点包括：

• 无专用非 root 用户，工具安装在 root 目录下
• 未预装 Solidity 二进制文件（需通过 solc-select 手动安装）
• 不含 pyevmasm 和 building-secure-contracts 仓库
• 精简自动补全功能

GitHub Actions 配置示例

在 GitHub 工作流中集成该镜像：

yaml
jobs:
  security-tests:
    runs-on: ubuntu-latest
    container: ghcr.io/trailofbits/eth-security-toolbox/ci:nightly
    steps:
      - name: Checkout code
        uses: actions/checkout@v4
      - name: Install Solidity 0.8.20
        run: solc-select install 0.8.20 && solc-select use 0.8.20
      - name: Run Slither static analysis
        run: slither . --fail-on high
      - name: Run Medusa fuzz test
        run: medusa fuzz --target contracts/MyContract.sol

容器镜像标签说明

镜像标签遵循以下命名规范，用于版本管理和环境隔离：

CI 环境版本固定建议

为确保 CI 流程稳定性，建议固定使用特定日期的 nightly-YYYYMMDD 镜像并通过哈希值锁定，例如：

yaml
container: ghcr.io/trailofbits/eth-security-toolbox/ci:nightly-20240101@sha256:abc123def456...

镜像哈希可从 容器仓库页面 获取。

获取帮助与许可

获取帮助

如需使用或扩展工具集，可通过 Trail of Bits 的 Slack 频道 获取支持。

许可协议

*** Security Toolbox 基于 AGPLv3 许可协议分发。如需特殊许可条款，请联系 ***。