Ostrzeżenie ⚠️ : Nie jest to nowy zapis o nagrodzie My, audytorzy, lubimy skupiać się na soczystych trafieniach krytycznych i ograniczać do minimum prace niezwiązane z technologią. Kto by się przejmował papierkową robotą i spotkaniami, skoro właśnie znalazłeś nowatorski sposób na opróżnienie kontraktu DeFi? Ale wszystko powinno być robione z umiarem i zbyt często widzimy, jak niezależni badacze całkowicie oszczędzają na podpisaniu nawet podstawowej umowy z klientem. To było coś, co robiliśmy również w pierwszych miesiącach TrustSec - połączyliśmy się z klientem na TG / discordzie, omówiliśmy zespół, cenę i harmonogram i po prostu zaczęliśmy. Czułem się płynnie i bez tarcia, więc w czym problem? Podobnie jak w przypadku wielu rzeczy, działa dobrze, dopóki nie przestanie. Kiedy zarządzasz 50+ audytami rocznie, zaczynasz napotykać skrajne przypadki. A kiedy to zrobisz, wyjaśnienie spraw z wyprzedzeniem pozwoli uniknąć mnóstwa tarć w potencjalnie wrażliwych punktach na osi czasu audytu. Widzisz, sens umowy o świadczenie usług nie polega na tym, że można ją zaskarżyć w sądzie oddalonym o tysiące kilometrów od Twojej obecnej lokalizacji. Oczywiście, w najgorszym przypadku może tak być. Ale przede wszystkim robi się to po to, aby wyrównać oczekiwania obu stron, sposób na zmuszenie dwóch stron do rozmowy o szczegółach, których w przeciwnym razie by nie omówiły. Oto tylko kilka scenariuszy, które pojawiły się i powinny być jawnie obsługiwane: - Klient nie jest gotowy z ostatecznym zatwierdzeniem przed datą rozpoczęcia. - Z nieprzewidzianych przyczyn co najmniej jeden audytor nie jest dostępny w części lub w całym okresie audytu. - Ostateczny zakres wymaga dłuższego czasu weryfikacji, co zwiększa koszty. - Dyskusja na temat tego, które narzędzie i formatowanie jest używane do liczenia końcowego SLOC. - Klient wprowadza nową funkcjonalność do sprawdzenia w audycie poprawek. - Prośba o wysłanie płatności dopiero po dostarczeniu raportu. - Klient chce anulować audyt z zaledwie 24-godzinnym wyprzedzeniem. - Klient chce wysłać płatność na preferowanym przez siebie blockchainie. - Zastrzeżenia co do publikacji raportu po akceptowalnym okresie oczekiwania. Oprócz jasnego określenia, jak postępować w takich sytuacjach, umowa zapewnia również audytorom krytyczną ochronę: - Zrzeka się wszelkiej odpowiedzialności za pominięte błędy i exploity. - Utrzymuje prawa własności intelektualnej do narzędzi, koncepcji ataków opracowanych w trakcie audytu (w zakresie, w jakim pozwalają na to przepisy prawa). - Ustala zaliczki, opłaty za anulowanie i tak dalej. - Spełnia wymogi należytej staranności, KYB i ramy prawne. Jest to istotne z punktu widzenia wymogów dotyczących opodatkowania, zgodności i źródła finansowania. Z tych powodów szybko stwierdziliśmy, że warto poświęcić trochę dodatkowego czasu przed dokonaniem rezerwacji i zachęcamy każdego audytora prowadzącego legalną działalność do zrobienia tego samego.