Peringatan ⚠️ : Bukan tulisan bounty baru Kami semua auditor suka fokus pada kritik yang menarik dan meminimalkan pekerjaan non-teknologi. Siapa yang peduli dengan dokumen dan rapat ketika Anda baru saja menemukan cara baru untuk menguras kontrak DeFi? Tetapi semua hal harus dilakukan dalam jumlah sedang, dan terlalu sering kita melihat peneliti independen benar-benar berhemat untuk mendapatkan perjanjian dasar yang ditandatangani dengan klien. Ini adalah sesuatu yang juga kami lakukan di bulan-bulan pertama TrustSec - terhubung dengan klien di TG / perselisihan, mendiskusikan tim, harga dan jadwal, dan baru saja memulai. Terasa halus dan tanpa gesekan, jadi apa masalahnya? Seperti banyak hal, itu bekerja dengan baik sampai tidak. Saat Anda mengelola 50+ audit setahun, Anda mulai mengalami kasus tepi. Dan ketika Anda melakukannya, menyelesaikan hal-hal sebelumnya menghindari banyak gesekan pada titik-titik yang berpotensi sensitif dalam linimasa audit. Lihat, inti dari perjanjian layanan bukanlah bahwa perjanjian tersebut dapat diajukan di pengadilan ribuan mil dari lokasi Anda saat ini. Tentu, dalam kasus terburuk, itu mungkin bisa. Tapi sebagian besar dilakukan untuk menyelaraskan harapan dari kedua belah pihak, cara untuk memaksa kedua belah pihak untuk membicarakan detail yang tidak akan mereka lakukan. Berikut adalah beberapa skenario yang muncul, dan harus ditangani secara eksplisit: - Klien tidak siap dengan penerapan akhir sebelum tanggal mulai. - Untuk alasan yang tidak terduga, satu atau beberapa auditor tidak tersedia untuk sebagian atau seluruh periode audit. - Cakupan akhir membutuhkan waktu peninjauan yang lebih lama, meningkatkan biaya. - Memperdebatkan alat dan pemformatan mana yang digunakan untuk menghitung SLOC akhir. - Klien memperkenalkan fungsionalitas baru untuk ditinjau dalam audit perbaikan. - Meminta pembayaran dikirim hanya setelah pengiriman laporan. - Klien ingin membatalkan audit hanya dengan pemberitahuan 24 jam sebelumnya. - Klien ingin mengirim pembayaran di blockchain pilihan mereka. - Keberatan tentang laporan yang diterbitkan setelah masa tunggu yang dapat diterima. Selain memperjelas cara menangani skenario ini, perjanjian juga memberikan perlindungan penting kepada auditor: - Melepaskan tanggung jawab apa pun atas bug & eksploitasi yang terlewatkan. - Mempertahankan hak IP pada alat, konsep serangan yang dikembangkan selama audit (sejauh undang-undang mengizinkan). - Mengatur uang muka, biaya pembatalan dan sebagainya. - Memenuhi persyaratan uji tuntas, KYB dan kerangka hukum. Ini relevan untuk persyaratan perpajakan, kepatuhan, dan sumber dana. Untuk alasan tersebut, kami dengan cepat menemukan bahwa menghabiskan sedikit waktu ekstra sebelum memesan barang sangat berharga, dan kami mendorong setiap auditor yang menjalankan bisnis yang sah untuk melakukan hal yang sama.