profmohit-edu/sarmf-framework

SARMF-Bench 官方主页： https://profmohit-edu.github.io/sarmf-framework/ # SARMF-Bench 官方 DOI 记录： - IEEE DataPort: https://doi.org/10.21227/zj4q-p934 - Zenodo: https://doi.org/10.5281/zenodo.18754015 - Harvard Dataverse: https://doi.org/10.7910/DVN/0SP3OO - Mendeley Data: https://doi.org/10.17632/kd3vcpnn9v.1 - OSF: https://doi.org/10.17605/OSF.IO/EJWDC - Protocol: https://doi.org/10.17504/protocols.io.bp2l6eyxdgqe/v1 # SARMF – 智能合约自动化修复与缓解框架 ## 概述 SARMF 是一个 DOI 索引的可复现安全工程框架，专为 Ethereum 兼容智能合约的系统性漏洞检测、分类法对齐、自动修复和对抗性验证而设计。 本仓库提供了与已发布的 SARMF protocol 相一致的工程结构、工作流定义和可复现脚手架。 主 DOI： https://dx.doi.org/10.17504/protocols.io.bp216eyxdgqe/v1 ## 项目亮点 在过去的几个月里，我一直在从零开始 quietly 构建 SARMF‑Bench，将其作为我的旗舰智能合约安全项目——这是一个完整的基准测试、工具链和可复现流水线，完全进行了版本控制并通过 DOI 归档。这不仅是一篇论文；这是一个端到端的研究成果，可以直接应用到他人的实验和课程中。 很高兴分享 SARMF‑Bench，这是我作为独立作者设计并实现的一个确定性智能合约漏洞基准测试。 SARMF‑Bench 目前包含 5 个与 SWC 对齐的最小化 Solidity 合约： - **SC01 – Reentrancy (SWC‑107)** - **SC02 – Integer overflow (SWC‑101)** - **SC03 – Access‑control weakness (SWC‑105)** - **SC04 – Unchecked external calls (SWC‑104)** - **SC05 – Denial‑of‑service via unbounded loops (SWC‑113)** 每个合约都在版本锁定的环境下使用 **Slither v0.11.5** 进行评估，并保留了完整的 JSON 检测结果，以实现完全可复现的静态分析实验。 **资源** - GitHub (代码 + JSON 产物): https://github.com/profmohit-edu/sarmf-framework - Software DOI: `10.5281/zenodo.18754015` - Reproducibility protocol DOI: `10.17504/protocols.io.bp216eyxdgqe/v1` SARMF‑Bench 论文目前正在 **Science of Blockchain Conference (SBC) 2026, Stanford** 进行审阅。我很乐意与任何有兴趣使用此基准测试来评估静态分析器、Fuzzer 或基于 AI 的安全工具的人合作。 ## 为什么使用 SARMF-Bench 而不是现有基准测试？ | 特性 | SARMF-Bench | 典型智能合约数据集 | |----------|--------------|----------------------------------| | SWC 对齐的分类法 | 是 (SWC-107, 101, 105, 104, 113) | 部分 | | 确定性设计 | 是 | 通常不可控 | | 版本锁定的工具链 | 是 | 罕见 | | 机器可读的 JSON 输出 | 是 | 有时 | | 跨归档 DOI 基础设施 | 是 (Zenodo + IEEE + Dataverse + OSF + Mendeley) | 罕见 | | 独立作者的可复现框架 | 是 | 通常是协作数据集 | ## 快速开始：3 步评测您的安全工具 1. 克隆仓库 2. 在 5 个与 SWC 对齐的合约上运行您的分析器或 Fuzzer 3. 将输出与提供的 Slither JSON 产物进行比较 SARMF-Bench 旨在保持精简，以允许快速的基准测试和可复现性验证。 ## 目标 • 确定性环境可复现性 • 多工具静态漏洞检测 • SWC 对齐的漏洞规范化 • 基于规则的自动补丁生成 • 行为验证和对抗性验证 • 审计级报告和可追溯性 ## 架构层级 1. 环境标准化层 2. 静态分析聚合层 3. 漏洞分类映射 4. 自动修复引擎 5. 对抗性验证流水线 6. 审计报告模块 ## 可复现性原则 SARMF 强制执行： • 工具链确定性 • 版本锁定执行 • 受控的依赖解析 • 可追溯的修复差异 • 可量化的安全增量验证 ## 引用 如果您使用本框架，请引用： Mohit Tiwari. SARMF: Smart Contract Automated Remediation and Mitigation Framework. DOI: 10.17504/protocols.io.bp216eyxdgqe/v1 ## Software Heritage 持久修订版 (SWHID): swh:1:rev:0577284fd94ca54a74316ff87921e043798e1edb ## 许可证 允许在注明出处的情况下用于研究和学术用途。

标签：CISA项目, DOI, Fuzzing, Homebrew安装, pocsuite3, SARMF, Slither, Solidity, Streamlit, SWC标准, Web3安全, Web报告查看器, 云安全监控, 以太坊, 区块链, 协议标准, 后端开发, 安全工程, 形式化验证, 拒绝服务攻击, 整数溢出, 智能合约安全, 模块化设计, 科学复现, 网络安全, 自动化修复, 访问控制, 软件测试, 逆向工具, 重入攻击, 隐私保护, 静态分析