Code Maturity Assessor

Purpose

Trail of Bits の 9 カテゴリーフレームワークを使用してコード成熟度を体系的に評価します。エビデンスベースの評価と実行可能な推奨事項を提供します。

Framework: Building Secure Contracts - Code Maturity Evaluation v0.1.0

---

How This Works

Phase 1: Discovery

コードベースを探索して、以下の内容を理解します:

• プロジェクト構造とプラットフォーム
• コントラクト/モジュールファイル
• テストカバレッジ
• ドキュメンテーションの利用可能性

Phase 2: Analysis

9 つのカテゴリーごとに、以下を行います:

• コード検索 - 関連するパターンを検索
• 主要ファイルを読む - 実装を評価
• 調査結果を提示 - ファイル参照付きで
• 明確化の質問 - コードから見えないプロセスについて
• 評価を決定 - 基準に基づいて

Phase 3: Report

以下を生成します:

• エグゼクティブサマリー
• 成熟度スコアカード(9 つのカテゴリーすべての評価)
• エビデンス付きの詳細分析
• 優先度順の改善ロードマップ

---

Rating System

• Missing (0): 存在しない/実装されていない
• Weak (1): いくつかの重大な改善が必要
• Moderate (2): 適切だが改善の余地あり
• Satisfactory (3): 平均以上、軽微な改善のみ
• Strong (4): 例外的、ほぼ完璧

評価ロジック:

• 1 つでも「Weak」基準がある → Weak
• 「Weak」なし + 「Moderate」未達がある → Moderate
• すべて「Moderate」以上 + 「Satisfactory」達成 → Satisfactory
• すべて「Satisfactory」以上 + 例外的な実践 → Strong

---

The 9 Categories

コード成熟度のあらゆる側面をカバーする 9 つの包括的なカテゴリーを評価します。詳細な基準、分析アプローチ、評価閾値については、ASSESSMENT_CRITERIA.md を参照してください。

Quick Reference:

1. ARITHMETIC

• オーバーフロー保護メカニズム
• 精度処理と丸め
• 式仕様
• エッジケーステスト

2. AUDITING

• イベント定義とカバレッジ
• 監視インフラストラクチャ
• インシデント対応計画

3. AUTHENTICATION / ACCESS CONTROLS

• 権限管理
• ロール分離
• アクセス制御テスト
• 鍵侵害シナリオ

4. COMPLEXITY MANAGEMENT

• 関数スコープと明確さ
• サイクロマティック複雑性
• 継承階層
• コード重複

5. DECENTRALIZATION

• 集中化リスク
• アップグレード制御メカニズム
• ユーザーオプトアウトパス
• Timelock/マルチシグパターン

6. DOCUMENTATION

• 仕様とアーキテクチャ
• インラインコードドキュメンテーション
• ユーザーストーリー
• ドメイン用語集

7. TRANSACTION ORDERING RISKS

• MEV 脆弱性
• フロントラン保護
• スリッページ制御
• オラクル セキュリティ

8. LOW-LEVEL MANIPULATION

• Assembly 使用法
• アンセーフなコードセクション
• 低レベル呼び出し
• 正当化とテスト

9. TESTING & VERIFICATION

• テストカバレッジ
• Fuzzing とフォーマル検証
• CI/CD 統合
• テスト品質

完全な評価基準(分析内容、質問内容、詳細な評価閾値(WEAK/MODERATE/SATISFACTORY/STRONG))については、ASSESSMENT_CRITERIA.md を参照してください。

---

Example Output

評価が完了すると、以下を含む包括的な成熟度レポートを受け取ります:

• Executive Summary: 全体スコア、トップ 3 の強み、トップ 3 のギャップ、優先推奨事項
• Maturity Scorecard: すべての 9 カテゴリーのスコアと注記を含むテーブル
• Detailed Analysis: エビデンス(file:line 参照)を含むカテゴリー別分析
• Improvement Roadmap: 優先度順の推奨事項(CRITICAL/HIGH/MEDIUM)と工数見積

完全な評価レポート例については、EXAMPLE_REPORT.md を参照してください。

---

Assessment Process

呼び出されると、以下を行います:

1. コードベースを探索

   • コントラクト/モジュールファイルを検出
   • テストファイルを特定
   • ドキュメンテーションを検索

2. 各カテゴリーを分析

   • 関連するコードパターンを検索
   • 主要な実装を読む
   • 基準に対して評価
   • エビデンスを収集

3. インタラクティブな評価

   • ファイル参照付きで調査結果を提示
   • コードから見えないプロセスについて質問
   • 境界線上のケースについて議論
   • 評価を一緒に決定

4. レポートを生成

   • エグゼクティブサマリー
   • 成熟度スコアカードテーブル
   • エビデンス付きの詳細なカテゴリー分析
   • 優先度順の改善ロードマップ

---

Rationalizations (Do Not Skip)

正当化	何が間違っているのか	必要なアクション
「いくつかの調査結果を見つけたので評価は完了」	評価には 9 つのカテゴリーすべてを評価する必要がある	各カテゴリーのエビデンス付きで 9 つすべてを完了する
「イベントを見つけた、監査カテゴリーは良さそう」	イベントだけでは監査成熟度に等しくない	ロギングの包括性、テスト、インシデント対応プロセスを確認
「コードはシンプルに見える、複雑性は低い」	視覚的な単純さは構成の複雑さを隠す	サイクロマティック複雑性、依存深度、ステートマシン遷移を分析
「DeFi プロトコルではない、MEV カテゴリーは該当しない」	MEV は DeFi 以外(ガバナンス、NFT、ゲーム)にも拡張される	N/A と宣言する前にトランザクション順序分析で確認
「Assembly が見つからない、低レベルカテゴリーは N/A」	低レベルリスクには外部呼び出し、delegatecall、インラインアセンブリを含む	カテゴリーをスキップする前にすべての低レベルパターンを検索
「これに時間がかかりすぎている」	徹底的な評価にはカテゴリーごとに時間が必要	9 つのカテゴリーすべてを完了し、オフチェーンプロセスについて質問
「エビデンスなしでこれを評価できる」	file:line 参照のない評価=根拠のない主張	すべてのカテゴリー評価に具体的なコードエビデンスを収集
「ユーザーは何を改善すべきかわかるだろう」	曖昧なガイダンス=アクションなし	具体的な改善と工数見積を含む優先度順のロードマップを提供

---

Report Format

詳細なレポート構造とテンプレートについては、REPORT_FORMAT.md を参照してください。

Structure:

1. Executive Summary

   • プロジェクト名とプラットフォーム
   • 全体成熟度(平均評価)
   • トップ 3 の強み
   • トップ 3 の重大なギャップ
   • 優先推奨事項

2. Maturity Scorecard

   • 9 つのカテゴリーをすべて含むテーブル
   • 評価とスコア
   • 主要な調査結果の注記

3. Detailed Analysis

   • カテゴリー別分析
   • file:line 参照付きエビデンス
   • ギャップと改善アクション

4. Improvement Roadmap

   • CRITICAL(即座)
   • HIGH(1-2 ヶ月)
   • MEDIUM(2-4 ヶ月)
   • 工数見積と影響

---

Ready to Begin

推定時間: 30-40 分

必要なもの:

• フルコードベースへのアクセス
• プロセスについてのあなたの知識(監視、インシデント対応、チームプラクティス)
• プロジェクトのコンテキスト(DeFi、NFT、インフラストラクチャなど)

このコードベースを評価しましょう!