entry-point-analyzer

por trailofbits

entry-point-analyzer ayuda a mapear los puntos de entrada que modifican el estado en bases de código de contratos inteligentes para tareas de auditoría de seguridad. Identifica las funciones invocables externamente que alteran el estado, las agrupa por nivel de acceso y excluye las rutas de solo lectura, como view, pure y otras. Usa esta guía de entry-point-analyzer cuando necesites un inventario enfocado de la superficie de llamadas para proyectos en Solidity, Vyper, Solana, Move, TON o CosmWasm.

Estrellas5k

Favoritos0

Comentarios0

Agregado4 may 2026

CategoríaSecurity Audit

Comando de instalación

npx skills add trailofbits/skills --skill entry-point-analyzer

Puntuación editorial

Esta skill obtiene 77/100, así que es una candidata sólida, aunque no de primer nivel. Quienes usan el directorio encuentran un flujo de trabajo bien definido y activable para identificar puntos de entrada de contratos inteligentes que modifican el estado en varios lenguajes importantes, con suficientes reglas y ejemplos como para reducir la incertidumbre frente a un prompt genérico.

77/100

Puntos fuertes

Condiciones de activación explícitas para auditorías, puntos de entrada, patrones de control de acceso y operaciones privilegiadas.
Gran claridad operativa: excluye funciones de solo lectura y ofrece reglas y ejemplos de detección específicos por lenguaje.
Buen rendimiento para agentes gracias a referencias estructuradas para Solidity, Vyper, Solana, Move, TON y CosmWasm.

Puntos a tener en cuenta

No incluye comando de instalación ni scripts auxiliares, así que su adopción depende de leer directamente SKILL.md y las referencias.
El alcance es intencionalmente estrecho: ayuda a mapear puntos de entrada, no a detectar vulnerabilidades más amplias ni a generar exploits.

Solidity Rust Move Cosmwasm Ton Vyper

Resumen

Descripción general de la skill entry-point-analyzer

La skill entry-point-analyzer te ayuda a mapear la superficie de ataque que modifica estado en una base de código de smart contracts antes de empezar una revisión de seguridad más profunda. Está pensada para auditorías en las que la primera pregunta no es “¿hay un bug?”, sino “¿qué funciones accesibles externamente pueden cambiar estado y quién puede llamarlas?”.

Para qué sirve entry-point-analyzer

Usa la skill entry-point-analyzer cuando necesites un inventario práctico de entry points para proyectos en Solidity, Vyper, Solana, Move, TON o CosmWasm. Es especialmente útil en un flujo de entry-point-analyzer for Security Audit: revisión de control de acceso, detección de operaciones privilegiadas y delimitación del alcance de auditoría.

Qué deja fuera

Esta skill excluye deliberadamente las rutas de código de solo lectura, los helpers puros y las funciones de uso interno únicamente. Eso la hace más útil para tomar decisiones que un prompt genérico cuando quieres una superficie de llamadas orientada a seguridad, no un recorrido completo del código.

Quién obtiene más valor

La mejor opción es para auditores de seguridad, ingenieros de protocolo y agentes que necesitan identificar rápido rutas públicas o privilegiadas que modifican estado. Si tu objetivo es investigación de exploits, perfilado de gas o calidad general del código, esta no es la herramienta adecuada.

Cómo usar la skill entry-point-analyzer

Instala y localiza la skill

Usa el flujo entry-point-analyzer install desde el repositorio del plugin trailofbits/skills:

npx skills add trailofbits/skills --skill entry-point-analyzer

Después, lee primero el archivo de entrada de la skill. En este repo, la ruta más útil es plugins/entry-point-analyzer/skills/entry-point-analyzer/SKILL.md.

Construye un prompt de entrada sólido

El patrón de uso de entry-point-analyzer funciona mejor cuando le das desde el principio el repositorio, el lenguaje y el objetivo de revisión. Un prompt fuerte se vería así:

“Analiza este protocolo en Solidity y enumera todos los entry points externos o públicos que cambian estado, agrupados por control de acceso y comportamiento en tiempo de despliegue. Excluye las funciones view y pure. Resalta las rutas solo para admin, protegidas por roles, fallback y constructor.”

Si la base de código mezcla lenguajes, dilo explícitamente. Si solo quieres un módulo, contrato o paquete, nómbralo.

Lee primero los archivos de soporte

Para obtener resultados de verdad, no te quedes en SKILL.md. En esta skill, las referencias de apoyo suelen aclarar reglas de entry points específicas de cada lenguaje:

references/solidity.md
references/vyper.md
references/solana.md
references/move-aptos.md
references/move-sui.md
references/ton.md
references/cosmwasm.md

Ahí es donde verificas casos límite como manejadores fallback, funciones de solo transacción, receptores de mensajes y patrones de control de acceso.

Flujo de trabajo que produce resultados útiles

Empieza pidiendo un mapa de entry points de toda la base de código y luego haz una segunda pasada centrada en las entradas de mayor riesgo. Por ejemplo, después del primer inventario, pide solo las funciones con restricción de admin, solo las rutas de upgrade o migración, o solo las funciones que tocan la propiedad y el estado de autorización. Esa secuencia hace que la skill sea mucho más útil que un resumen de una sola pasada.

Preguntas frecuentes sobre la skill entry-point-analyzer

¿entry-point-analyzer es solo para smart contracts?

Sí. La skill está diseñada para bases de código de smart contracts y convenciones de entry points específicas de cada cadena. No está pensada para backend, frontend ni código de aplicación de propósito general.

¿En qué se diferencia de un prompt normal?

Un prompt normal suele pasar por alto reglas de entry points específicas del lenguaje, especialmente en Solidity, Move, TON y CosmWasm. La skill entry-point-analyzer te da un objetivo más acotado: solo superficies externas que cambian estado, con reglas de exclusión que reducen el ruido.

¿entry-point-analyzer es apta para principiantes?

Sí, si tu objetivo es entender la superficie externa de mutación de un contrato. Resulta menos amigable si esperas que encuentre vulnerabilidades por sí sola, porque la skill sirve para delimitar y clasificar, no para detectar exploits.

¿Cuándo no debería usarla?

No uses entry-point-analyzer cuando necesites análisis de solo lectura, revisión genérica de código o desarrollo de exploits. Tampoco encaja bien si la base de código no es un sistema de smart contracts o si necesitas cada función, incluidos los helpers internos.

Cómo mejorar la skill entry-point-analyzer

Dale al analizador el límite correcto

El mejor uso de entry-point-analyzer empieza con un alcance claramente definido: un repositorio, un protocolo o un paquete de despliegue. Si incluyes paquetes no relacionados, el resultado será más ruidoso y más difícil de confiar.

Especifica la pregunta de control de acceso que te importa

Normalmente, los usuarios quieren una de estas tres cosas: “¿qué puede llamar cualquiera?”, “¿qué es solo para admin?” o “¿qué cambia estado durante el despliegue o la migración?”. Pídelo de forma explícita. La skill rinde mejor cuando la salida se agrupa por capacidad de llamada y privilegio, no solo por archivo.

Aporta contexto específico del lenguaje cuando importe

En repositorios multilenguaje, dile a la skill qué convenciones de framework deben priorizarse. Por ejemplo, menciona Anchor para Solana, patrones entry_point para CosmWasm o manejadores receive para TON. Eso reduce los falsos negativos en rutas de entrada específicas del framework.

Itera del inventario a la revisión

Primero pide el mapa completo de entry points. Después pide las 5 funciones de mayor riesgo, los checks de autorización de los que dependen y cualquier ruta que cambie estado y parezca inusual o insuficientemente protegida. Este enfoque en dos pasos da mejores resultados que pedir una auditoría de seguridad completa en una sola pasada, porque la salida de la skill se valida mejor cuando parte de un mapa de superficie limpio.

Calificaciones y reseñas

Aún no hay calificaciones

Comparte tu reseña

Inicia sesión para dejar una calificación y un comentario sobre esta skill.

0/10000

Reseñas más recientes

Guardando...

Más skills de esta categoría

solana-vulnerability-scanner

por trailofbits

solana-vulnerability-scanner es un skill de auditoría de seguridad para Solana, enfocado en programas nativos en Rust y Anchor. Ayuda a revisar la lógica de CPI, la validación de PDA, las comprobaciones de firmante y propiedad, y el spoofing de sysvar para detectar seis vulnerabilidades críticas específicas de Solana antes del despliegue.

Security Audit

Favoritos 0GitHub 4.9k

sharp-edges

por trailofbits

La skill sharp-edges te ayuda a encontrar APIs, configuraciones e interfaces en las que el camino fácil acaba en un uso inseguro. Úsala para revisar flujos de autenticación, envoltorios criptográficos, valores predeterminados peligrosos, la semántica de null o cero y decisiones de diseño propensas a un uso incorrecto. Encaja especialmente bien para trabajos de sharp-edges en auditorías de seguridad cuando necesitas riesgos concretos de uso erróneo, no suposiciones genéricas sobre seguridad.

Security Audit

Favoritos 0GitHub 5k

security-review

por affaan-m

Usa la skill security-review para revisar autenticación, entrada de usuario, secretos, APIs, pagos, cargas de archivos y otros flujos sensibles. Ofrece una guía práctica de revisión de seguridad con comprobaciones claras de aprobado/rechazado, ejemplos de patrones de riesgo y un proceso enfocado para detectar problemas comunes antes del lanzamiento.

Security Audit

Favoritos 0GitHub 156.3k

django-security

por affaan-m

django-security es una guía práctica para reforzar apps de Django con autenticación, autorización, protección CSRF, prevención de XSS e inyección SQL, cookies seguras y ajustes de producción. Ayuda a desarrolladores y revisores a ejecutar una Security Audit enfocada, detectar rápido configuraciones de riesgo y aplicar correcciones concretas antes del despliegue.

Security Audit

Favoritos 0GitHub 156.1k

ossfuzz

por trailofbits

Aprende la skill de ossfuzz para configurar fuzzing continuo, registrar proyectos, planificar harnesses y revisar el flujo de compilación. Esta guía ayuda a ingenieros de seguridad y mantenedores a evaluar la preparación, detectar bloqueos de compilación y preparar una ruta práctica desde el árbol de código fuente hasta OSS-Fuzz o una infraestructura privada de fuzzing.

Security Audit

Favoritos 0GitHub 5k

codeql

por trailofbits

La skill de codeql te ayuda a ejecutar CodeQL con menos puntos ciegos durante una auditoría de seguridad. Se centra en la calidad de la base de datos, la selección de suites, las extensiones de datos y la revisión de SARIF, para que puedas usar codeql con más fiabilidad en los idiomas compatibles. Úsala para seguir pasos repetibles de la guía de codeql al analizar repositorios reales.

Security Audit

Favoritos 0GitHub 5k

semgrep-rule-creator

por trailofbits

semgrep-rule-creator crea reglas de Semgrep de calidad de producción para vulnerabilidades de seguridad, patrones de errores, detecciones de flujo de taint y estándares de codificación. Usa la skill semgrep-rule-creator para tareas de auditoría de seguridad cuando necesites reglas precisas, casos de prueba y validación, en lugar de un borrador genérico.

Security Audit

Favoritos 0GitHub 5k

insecure-defaults

por trailofbits

La skill insecure-defaults ayuda a detectar patrones de configuración fail-open que hacen que el software siga funcionando con ajustes inseguros en vez de detenerse. Úsala en una auditoría de seguridad de código en producción, configuraciones de despliegue y lógica de manejo de secretos para identificar autenticación débil, secretos incrustados y valores predeterminados demasiado permisivos.

Security Audit

Favoritos 0GitHub 5k

constant-time-analysis

por trailofbits

constant-time-analysis es una skill de auditoría de seguridad para detectar riesgos de canal lateral por temporización en código criptográfico antes de que se conviertan en fallos explotables. Úsala para revisar matemáticas dependientes de secretos, ramas, comparaciones y el código compilado al auditar C, C++, Go, Rust, Swift, Java, Kotlin, PHP, JavaScript, TypeScript, Python o Ruby.

Security Audit

Favoritos 0GitHub 5k

secure-workflow-guide

por trailofbits

secure-workflow-guide guía un flujo de trabajo de seguridad en Solidity en 5 pasos: triaje con Slither, comprobaciones específicas por función, inspección visual, notas sobre propiedades de seguridad y revisión manual. Está pensado para equipos de smart contracts, auditores y builders que quieren una guía secure-workflow-guide repetible antes del despliegue o del lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

algorand-vulnerability-scanner

por trailofbits

algorand-vulnerability-scanner es una skill de auditoría de seguridad para Algorand TEAL y PyTeal. Ayuda a detectar 11 problemas comunes, incluidos ataques de rekeying, fallos en la validación de fees, comprobaciones de campos y errores de control de acceso. Usa la skill algorand-vulnerability-scanner como una revisión práctica inicial antes de una auditoría manual.

Security Audit

Favoritos 0GitHub 4.9k

supabase-postgres-best-practices

por supabase

supabase-postgres-best-practices es una skill de optimización de Supabase Postgres para ajustar consultas, indexación, diseño de esquemas, rendimiento de RLS, bloqueos y gestión de conexiones.

Database Engineering

Favoritos 0GitHub 1.7k

entra-agent-id

por microsoft

entra-agent-id es una skill de vista previa de Microsoft Entra Agent ID para equipos de desarrollo backend que crean identidades de agentes de IA con capacidad OAuth2 usando Graph beta. Cubre la configuración de blueprints, blueprint principals, identidades de agente, permisos, sponsors, federación de identidad de workload y autenticación basada en sidecar. Úsala para entender la instalación, el uso y las limitaciones de despliegue de entra-agent-id.

Backend Development

Favoritos 0GitHub 0

token-integration-analyzer

por trailofbits

token-integration-analyzer es una skill de revisión de seguridad para implementaciones e integraciones de tokens. Verifica la conformidad con ERC20/ERC721, patrones de tokens inusuales, privilegios del owner, escasez y el manejo de tokens no estándar en flujos de trabajo de Security Audit. Usa la guía de token-integration-analyzer para reducir la incertidumbre y evaluar el riesgo de compatibilidad.

Security Audit

Favoritos 0GitHub 4.9k

cosmos-vulnerability-scanner

por trailofbits

cosmos-vulnerability-scanner detecta fallos críticos para el consenso en módulos de Cosmos SDK, contratos CosmWasm, integraciones IBC y stacks de Cosmos EVM. Usa esta guía de cosmos-vulnerability-scanner para flujos de trabajo de auditoría de seguridad, riesgos de parada de cadena, rutas de pérdida de fondos y revisiones previas al lanzamiento.

Security Audit

Favoritos 0GitHub 4.9k

ruzzy

por trailofbits

ruzzy es un skill de fuzzing de Ruby guiado por cobertura para probar código Ruby puro y extensiones C de Ruby. Usa la guía de ruzzy para configurar un entorno Linux compatible, verificar la integración de sanitizers y crear flujos de trabajo de fuzzing prácticos para tareas de Security Audit.

Security Audit

Favoritos 0GitHub 5k