paint-brush
स्मार्ट कॉन्ट्रैक्ट ऑडिट प्राप्त करना: वह सब कुछ जो आपको जानना आवश्यक हैद्वारा@rareskills
144 रीडिंग

स्मार्ट कॉन्ट्रैक्ट ऑडिट प्राप्त करना: वह सब कुछ जो आपको जानना आवश्यक है

द्वारा RareSkills12m2023/06/26
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

शब्द "स्मार्ट कॉन्ट्रैक्ट ऑडिट" उद्योग की भाषा का विकास है, इसकी कोई कठोर परिभाषा नहीं है, और इसका अलग-अलग लोगों के लिए अलग-अलग मतलब हो सकता है।
featured image - स्मार्ट कॉन्ट्रैक्ट ऑडिट प्राप्त करना: वह सब कुछ जो आपको जानना आवश्यक है
RareSkills HackerNoon profile picture
0-item

स्मार्ट कॉन्ट्रैक्ट ऑडिट ब्लॉकचेन सुरक्षा विशेषज्ञों द्वारा की जाने वाली समीक्षा है ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ताओं को किसी खराबी या सुरक्षा भेद्यता के कारण धन की हानि नहीं होगी। इसके अलावा, एक ऑडिट अनुबंध तैनात होने से पहले अप्रत्याशित और अवांछनीय स्मार्ट अनुबंध व्यवहार का अनुमान लगाने की कोशिश करता है।


इस क्षेत्र में नेविगेट करना मुश्किल है. दर्जनों ऑडिट फर्म हैं, और उनमें से कई से उद्धरण प्राप्त करने में समय लगता है, और यह जानना कठिन है कि आपको उचित मूल्य मिल रहा है या नहीं।


यह लेख स्मार्ट कॉन्ट्रैक्ट ऑडिट प्राप्त करने के कार्य को शुरू करने के लिए शुरुआती बिंदु के रूप में काम करने में मदद करेगा।


इस लेख में ऑडिटिंग फर्मों के संदर्भ को समर्थन के रूप में नहीं समझा जाना चाहिए।

स्मार्ट कॉन्ट्रैक्ट ऑडिट के लिए कोई आधिकारिक मानक नहीं है

और उद्योग कितनी तेजी से आगे बढ़ रहा है, निकट भविष्य में शायद ऐसा कोई नहीं होगा।

शब्द "स्मार्ट कॉन्ट्रैक्ट ऑडिट" उद्योग की भाषा का विकास है, इसकी कोई कठोर परिभाषा नहीं है, और इसका अलग-अलग लोगों के लिए अलग-अलग मतलब हो सकता है। उन उद्योगों से आने वालों के लिए जहां आईएसओ मानक आदर्श हैं, स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग जंगली पश्चिम की तरह प्रतीत होगी (और स्पष्ट रूप से, यह एक सटीक मूल्यांकन होगा)।


हालाँकि कुछ स्मार्ट अनुबंध कमजोरियाँ सर्वविदित हैं, अन्य जटिल प्रणालियों के उभरते गुण हैं और व्यवस्थित रूप से पता लगाना कठिन है।


मानक परिपक्व बाज़ारों की विशेषता हैं, और वेब3 समग्र रूप से एक परिपक्व बाज़ार नहीं है।


स्मार्ट कॉन्ट्रैक्ट ऑडिट को "ऑडिट" कहना कुछ हद तक शर्तों का मिश्रण है। लेखांकन के क्षेत्र में, "ऑडिट" की एक बहुत ही कठोर परिभाषा है; ब्लॉकचेन इंजीनियरिंग में ऐसा नहीं है. ब्लॉकचेन में जिसे "ऑडिट" कहा जाता है, वह विशेषज्ञों की एक टीम द्वारा की जाने वाली सुरक्षा समीक्षा है।


इसे और भी भ्रमित करने वाली बात यह है कि स्मार्ट कॉन्ट्रैक्ट में किसी को ऑडिटर या सुरक्षा विशेषज्ञ बनाने की कोई औपचारिक परिभाषा या प्रमाणन नहीं है। हां, प्रमाणपत्र बेचने वाली कंपनियां हैं, लेकिन उद्योग में इन प्रमाणपत्रों का कोई महत्व नहीं है।


जैसा कि आप उम्मीद कर सकते हैं, कई उद्यमशील व्यक्ति हैं जो विशेषज्ञता को बेचने के लिए भ्रम का फायदा उठा रहे हैं जो उनके पास नहीं है - क्योंकि विशेषज्ञता को मापने का कोई स्थापित तरीका नहीं है।


चेतावनी खाली करनेवाला.


जो कुछ भी कहा गया है, उद्योग में इस बात पर व्यापक सहमति है कि "इस स्मार्ट अनुबंध का ऑडिट किया गया है" का अर्थ है "सुरक्षा विशेषज्ञों के एक समूह को इस कोडबेस की समीक्षा करने और मुद्दों को खोजने के लिए भुगतान किया गया था।" चूंकि विशेषज्ञता की कोई औपचारिक परिभाषा नहीं है, इसलिए उद्योग की प्रतिष्ठा को अक्सर प्रॉक्सी के रूप में उपयोग किया जाता है।

लेखापरीक्षकों के तीन मुख्य प्रकार

स्मार्ट कॉन्ट्रैक्ट ऑडिट कंपनियाँ

ये वे कंपनियाँ हैं जो सुरक्षा अनुसंधान में विशेषज्ञ हैं। कुछ केवल स्मार्ट अनुबंधों का ऑडिट करते हैं, जबकि अन्य स्मार्ट अनुबंधों और पारंपरिक कंप्यूटर अनुप्रयोगों का ऑडिट करते हैं। आप इसे सुरक्षा शोधकर्ताओं से बनी एक एजेंसी के रूप में सोच सकते हैं। हाल तक, स्मार्ट कॉन्ट्रैक्ट ऑडिट प्राप्त करने का यह मानक तरीका था। यदि आप स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग कंपनियों के लिए Google खोज करते हैं, तो आपको आमतौर पर इस प्रकार के परिणाम मिलेंगे।

स्वतंत्र सुरक्षा शोधकर्ता

किसी कंपनी से जुड़ने के बजाय, कुछ सुरक्षा शोधकर्ता अपने लिए काम करते हैं। उन्हें ढूंढना थोड़ा कठिन है क्योंकि एजेंसियों की तुलना में उनके पास बहुत कम विपणन बजट है, लेकिन क्योंकि उनके पास कम ओवरहेड है, वे अक्सर बेहतर कीमतें प्रदान कर सकते हैं।


एक कमी यह है कि एक फर्म कई ऑडिटरों से आपके कोड की समीक्षा करवा सकती है, जबकि एक स्वतंत्र ऑडिटर के पास केवल एक समीक्षक होगा। लेकिन छोटे या कम जटिल कोडबेस के लिए, यह अधिक लागत प्रभावी हो सकता है।

प्रतिस्पर्धी लेखापरीक्षा

हाल ही में, कुछ प्लेटफ़ॉर्म ( शर्लक डेफ़ी , कोड4रेना ) सामने आए हैं, जहां ऑडिट का अनुरोध करने वाली कंपनियां मौद्रिक पुरस्कार पूल के साथ प्लेटफ़ॉर्म पर अपना स्रोत कोड प्रकाशित करती हैं, और फिर स्वतंत्र प्रतियोगी बग और कमजोरियों को खोजने का प्रयास करते हैं।


एक प्रतियोगी को जितने अधिक बग मिलेंगे, वह उतना अधिक पैसा कमाएगा, लेकिन यदि किसी अन्य प्रतियोगी को वही बग मिलता है, तो भुगतान दोनों के बीच कम हो जाता है। अच्छी तरह से समझे गए बग के लिए, भुगतान को काफी कम किया जा सकता है।


इस प्रारूप में लेखा परीक्षकों की कमाई काफी कम है। काफी प्रयास करने के बावजूद प्रतियोगी शायद ही कभी प्रति प्रतियोगिता $1,000 से अधिक कमाने की उम्मीद कर सकते हैं। प्रतिभागियों के लिए प्राथमिक प्रोत्साहन उनकी क्षमताओं को साबित करना है ताकि वे एक पारंपरिक ऑडिट फर्म में नौकरी पा सकें या एकल ऑडिटर (स्वतंत्र शोधकर्ता) के रूप में व्यवसाय को आकर्षित कर सकें। प्रतियोगिता में भाग लेने वाले लोगों की गुणवत्ता की भी कोई गारंटी नहीं है, क्योंकि कोई भी भाग ले सकता है।


हालाँकि, ये प्लेटफ़ॉर्म नए ऑडिटरों के लिए बहुत शैक्षिक हो सकते हैं। क्योंकि प्रारूप बग ढूंढने पर गहन फोकस को प्रोत्साहित करता है, फिर कौन से बग छूट गए हैं, इस पर फीडबैक देता है, वे अपेक्षाकृत सख्त फीडबैक लूप प्रदान कर सकते हैं जो सीखने में तेजी लाने में मदद करता है। वास्तव में, हम शैक्षिक उद्देश्यों के लिए इन प्रतियोगिताओं में भाग लेने के लिए अपने कुछ सॉलिडिटी प्रशिक्षण का मार्गदर्शन करते हैं।


सर्वश्रेष्ठ लेखा परीक्षक प्रतियोगिताओं में बहुत अधिक समय नहीं बिताते हैं, क्योंकि वे अपने लिए या किसी फर्म के लिए काम करके कहीं अधिक पैसा कमाते हैं। इसलिए ध्यान रखें कि ऑडिटिंग प्रतियोगिता में अच्छा प्रदर्शन करने वाले किसी व्यक्ति का सीधा सा मतलब यह हो सकता है कि जिस प्रतियोगिता में उन्होंने भाग लिया था, उसके लिए उन्हें महत्वपूर्ण प्रतिस्पर्धा का सामना नहीं करना पड़ा। भाग्य का एक तत्व यह भी है जहां एक प्रतियोगिता ऑडिटर की सार्वजनिक कमाई का एक महत्वपूर्ण हिस्सा बनाती है। .


हालाँकि, इस प्रारूप में अन्य ऑडिट प्रारूपों की तुलना में कोड पर कहीं अधिक नज़र होती है, और ऑडिट प्रतियोगिताओं में अन्य ऑडिटरों द्वारा छोड़े गए बग पकड़े गए हैं। वे कंपनियों के लिए डेवलपर और ऑडिटर समुदायों के लिए अपने प्रोटोकॉल को सूक्ष्मता से विपणन करने के लिए एक चैनल के रूप में भी काम करते हैं, इसलिए वे पारिस्थितिकी तंत्र में एक मूल्यवान योगदान हैं।

बोनस: अनौपचारिक कोड रोस्टिंग

कुछ डेवलपर डिसॉर्डर समूह आपके कोड की निःशुल्क समीक्षा करेंगे (सहायक होने की इच्छा से, इसलिए कृपया दूसरों की उदारता का दुरुपयोग न करें)। यदि आपके पास एक छोटा और सरल कोडबेस है, तो कभी-कभी कुछ विशेषज्ञों से अपना समय दान करवाना आपके लिए सबसे अधिक लागत प्रभावी मार्ग हो सकता है। ऐसी समीक्षा को "ऑडिट" कहा जाना बेहद कपटपूर्ण होगा, लेकिन यदि यह एकमात्र विकल्प उपलब्ध है, तो यह निश्चित रूप से समीक्षा न करने से बेहतर है।

स्मार्ट कॉन्ट्रैक्ट ऑडिट में ध्यान रखने योग्य बातें

फर्म के पिछले ऑडिट देखें

कुछ ऑडिटर स्मार्ट अनुबंध कमजोरियों की सूची के लिए एक कठोर चेकलिस्ट का उपयोग करते हैं और जांचते हैं कि समस्या मौजूद है या नहीं। यह पहली बार के लिए अच्छा है, लेकिन कई बग एप्लिकेशन-विशिष्ट हैं (जैसा कि हमने उस लेख में नोट किया है)। आप यह सुनिश्चित करना चाहते हैं कि ऑडिटर आपके आवेदन की बारीकियों और व्यावसायिक आवश्यकताओं पर विचार करेगा। उनके पिछले ऑडिट को देखकर, आप देख सकते हैं कि क्या वे स्वचालित रूप से किसी सूची के विरुद्ध जाते हैं या आपके आवेदन की बारीकियों में गहराई से उतरते हैं। एक ऑडिटर द्वारा पिछले ऑडिट की आपूर्ति नहीं करना आम तौर पर एक खतरे का संकेत है।

लेखापरीक्षक विशेषज्ञता

यदि आपका प्रोजेक्ट विदेशी डेफी टोकनोमिक्स या जीरो नॉलेज प्रूफ़ का उपयोग करता है, तो आप यह सुनिश्चित करना चाहेंगे कि आपके चयनित ऑडिटर के पास इसका अनुभव हो। इसी तरह, यदि आप सोलाना जैसी गैर-ईवीएम संगत श्रृंखला पर एक डैप बना रहे हैं, तो आप उस ब्लॉकचेन के साथ अनुभवी ऑडिटर चाहेंगे।

न्यूनतम लागत

कुछ ऑडिट फर्म ईआरसी20 टोकन या बेसिक एनएफटी जैसे छोटे कोडबेस से परेशान नहीं होंगी क्योंकि वे बिक्री कॉल और खाता प्रबंधन के लिए भुगतान करने के लिए पर्याप्त पैसा नहीं कमाएंगे।

रबर स्टाम्प लेखा परीक्षक

क्योंकि ऑडिट के लिए कोई औपचारिक या स्वीकृत परिभाषा नहीं है, कुछ कंपनियां सामने आई हैं जो उपहासपूर्ण रूप से "रबर स्टांप ऑडिट" के रूप में जानी जाती हैं। ये कंपनियाँ ऑडिट रिपोर्ट केवल इसलिए प्रदान करती हैं क्योंकि खरीदार ऑडिट चाहता था ताकि वे अपने ग्राहकों को बता सकें, "देखो, हमारा ऑडिट किया गया है!"


प्रत्येक प्रोटोकॉल को जानबूझकर रबर स्टैम्प ऑडिट नहीं मिलता है; हो सकता है कि उन्होंने ऑडिटर को केवल इस बात से अनजान चुना हो कि वे रबर स्टाम्प ऑडिटर हैं।

स्मार्ट कॉन्ट्रैक्ट ऑडिट कितने विश्वसनीय हैं?

भले ही किसी स्मार्ट कॉन्ट्रैक्ट का ऑडिट किया गया हो, फिर भी इसे बाद में हैक किया जा सकता है; यह कोई दुर्लभ घटना नहीं है.


Rekt.news के पास एक लीडरबोर्ड है जो खोई गई धनराशि के आधार पर स्मार्ट कॉन्ट्रैक्ट हैक को ट्रैक करता है। यह देखना आसान है कि हैक किए गए अधिकांश प्रोटोकॉल का बिल्कुल भी ऑडिट नहीं किया गया था।


हालाँकि, कुछ प्रोटोकॉल में ऑडिट थे, कुछ में एक से अधिक, जो ऑडिटर अभी भी चूक गए थे। कुछ मामलों में, ऐसा इसलिए हो सकता है क्योंकि ऑडिटर अक्षम थे या उन्होंने पर्याप्त प्रयास नहीं किया, लेकिन सामान्य तौर पर, यह गारंटी देना संभव नहीं है कि कोडबेस बग से मुक्त है।


अच्छी खबर यह है कि कुछ कमज़ोरियाँ न केवल लेखापरीक्षकों द्वारा नज़रअंदाज़ की जाती हैं; वे हैकर्स से भी छूट जाते हैं। कुछ स्मार्ट अनुबंध पैच किए जाने से पहले महीनों तक लाइव भेद्यता के साथ चलते रहे थे। एक सभ्य ऑडिट यह सुनिश्चित करेगा कि हैकर्स के लिए "कम लटकने वाले फल" को समाप्त कर दिया जाए।

क्या मुझे एकाधिक ऑडिट करवाने चाहिए?

यह अच्छी तरह से वित्त पोषित डेफी प्रोटोकॉल के साथ मानक अभ्यास है जो बहुत सारा पैसा रखने का इरादा रखता है; तीन या अधिक ऑडिट फर्मों द्वारा कोड की समीक्षा करना बिल्कुल सामान्य है।


एक ऑडिटर जो भूल जाता है, दूसरा उसे पकड़ सकता है, और इसके विपरीत भी। इसी तरह, एक ऑडिटर को एक भेद्यता दिखाई दे सकती है, और डेवलपर्स एक अलग भेद्यता पेश करते समय उस भेद्यता को ठीक कर सकते हैं।

ऑडिट प्राप्त करने का विशिष्ट कार्यप्रवाह

1. उद्धरण प्राप्त करें आप उद्धरण मांगने वाली विभिन्न फर्मों तक पहुंचेंगे, और आप उनकी उपलब्धता और आपकी लॉन्च तिथियों के आधार पर समन्वय करेंगे।


2. ऑडिट शुरू होता है जब आप ऑडिट के लिए जाएं तो आपको कोड फ़्रीज़ में होना चाहिए। यदि ऑडिटर आपके द्वारा उत्पाद के लिए लॉन्च किए गए कोडबेस से भिन्न कोडबेस की समीक्षा कर रहे हैं, तो आप संभवतः पैसा बर्बाद कर रहे हैं!


3. ऑडिट रिपोर्ट अधिकांश ऑडिट रिपोर्ट (जो एक निश्चित चेकलिस्ट का पालन नहीं करती हैं) गंभीर, उच्च, मध्यम, निम्न, सूचनात्मक और गैस अनुकूलन के रूप में वर्गीकृत निष्कर्षों की एक सूची लौटाएंगी। इन्हें निम्नलिखित अनुभाग में समझाया गया है। परियोजना के दायरे के आधार पर ऑडिट कुछ दिनों से लेकर कुछ महीनों तक का हो सकता है।


4. सुधारों की समीक्षा करें समझौते के आधार पर, ऑडिटर डेवलपर्स द्वारा किए गए परिवर्तनों की समीक्षा करेगा और सुनिश्चित करेगा कि सुधार वास्तव में बग का समाधान करता है। स्वीकार्य मानी जाने वाली पुनरीक्षण समीक्षाओं की संख्या लेखापरीक्षक पर निर्भर करती है।


5. रिपोर्ट प्रकाशित करें ऑडिटर आम तौर पर अपनी रिपोर्ट प्रकाशित करते हैं यदि ग्राहक अनुमति देता है (और ग्राहक आमतौर पर चाहते हैं कि ऑडिट सार्वजनिक हो ताकि यह दिखाया जा सके कि उनका ऑडिट किया गया है)।

ऑडिट खोज की गंभीरता

अधिकांश ऑडिट रिपोर्ट समूह सुरक्षा निष्कर्षों को गंभीरता में रखती हैं:

  • गंभीर

  • उच्च

  • मध्यम

  • कम

  • सूचना

  • गैस अनुकूलन


सभी कंपनियाँ समान लेबल का उपयोग नहीं करतीं। जैसा कि हमने देखा, सार्वभौमिक मानकों की कमी के कारण, "उच्च" या "मध्यम" भेद्यता मानी जाने वाली कोई समान परिभाषा नहीं है। कुछ ऑडिटर समान बग निर्दिष्ट करने के लिए उचित रेटिंग के बारे में असहमत हैं, लेकिन यहां कुछ कारक दिए गए हैं जिनका उपयोग ऑडिटर गंभीरता निर्दिष्ट करने के लिए करते हैं:


  • सबसे ख़राब केस का नतीजा. सारी धनराशि का चोरी हो जाना विनाशकारी है। ऐसे बग जहां कोई हैकर धन नहीं चुरा सकता है लेकिन उपयोगकर्ताओं को अपने पैरों पर कुल्हाड़ी मारने से पर्याप्त रूप से सुरक्षित नहीं किया जाता है, उन्हें कम गंभीरता के साथ लेबल किया जाएगा।

  • प्रभावित उपयोगकर्ताओं की संख्या. पूरे प्रोटोकॉल में पैसा खोना एक व्यक्तिगत उपयोगकर्ता के पैसे खोने से भी अधिक गंभीर है।

  • हमले का संचालन करने के लिए प्रोत्साहन. यदि किसी हमलावर को किसी हमले को अंजाम देने के लिए प्राप्त होने वाली आय से अधिक पूंजी खर्च करने की आवश्यकता होती है, तो गंभीरता कम हो जाती है। यह अभी भी एक भेद्यता है क्योंकि हमलावर के पास हमले को अंजाम देने का गैर-आर्थिक मकसद हो सकता है (दिखावा करना, व्यक्तिगत प्रतिशोध, आदि)।

  • हमले की अस्पष्टता. यदि भेद्यता पहुंच नियंत्रण के अभाव जैसी है, तो एक अपरिष्कृत हमलावर हमले को अंजाम दे सकता है। यदि कमजोरी उन्नत गणित का उपयोग करके परिष्कृत टोकनोमिक्स तंत्र की गहरी समझ पर निर्भर करती है, तो इसकी संभावना कम है कि हमलावर को समस्या मिल जाएगी।


कुछ लेखा परीक्षक अंतिम दो कारकों को एक में जोड़ते हैं: हमले की संभावना। इस मॉडल के तहत, वे गंभीरता निर्दिष्ट करने के लिए निम्नलिखित तालिका का उपयोग करते हैं: स्मार्ट अनुबंध भेद्यता गंभीरता तालिका

क्रिटिकल बनाम हाई बनाम मीडियम

कुछ ऑडिटर महत्वपूर्ण कमजोरियों और उच्च कमजोरियों के बीच अंतर करते हैं, और अन्य ऑडिटर महत्वपूर्ण कमजोरियों को उच्च कमजोरियों के साथ समूहित करते हैं। किसी भी स्थिति में, इन्हें अत्यंत गंभीर बग माना जाता है! जो लोग भेद करते हैं, उनके लिए क्रिटिकल का मतलब यह हो सकता है कि पूरा प्रोटोकॉल गंभीर रूप से प्रभावित है, जबकि उच्च का मतलब है कि व्यक्तिगत उपयोगकर्ता गंभीर रूप से प्रभावित हो सकते हैं।


मध्यम गंभीरता के मुद्दों का मतलब आमतौर पर ऐसे मुद्दे होते हैं जो हानिकारक हो सकते हैं लेकिन घटित होने की संभावना नहीं होती है।

सूचना

कुछ ऑडिटर सॉलिडिटी स्टाइल गाइड का पालन न करने या वैरिएबल और फ़ंक्शन नाम गलत वर्तनी वाले या भ्रामक होने जैसे मुद्दों को इंगित करेंगे। ये सुरक्षा संबंधी कमज़ोरियाँ नहीं हैं लेकिन भविष्य में भ्रम पैदा कर सकती हैं। सभी लेखापरीक्षक सूचनात्मक मुद्दों की ओर ध्यान नहीं दिलाते।

गैस अनुकूलन

कुछ लेखा परीक्षक कुछ कोडों की गैस दक्षता में सुधार के तरीके सुझाएंगे। ये सुरक्षा से संबंधित नहीं हैं, लेकिन ये उपयोगकर्ता अनुभव को निश्चित रूप से बेहतर बनाएंगे।

स्मार्ट कॉन्ट्रैक्ट का ऑडिट करने में कितना खर्च आता है?

सार्वजनिक जानकारी पर आधारित अनुमान

यदि आप फ़िवरर पर नज़र डालें, तो आपको कम कीमतों पर स्मार्ट अनुबंधों का ऑडिट करने के लिए कुछ सेवाएँ मिलेंगी, लेकिन क्या आप वास्तव में इस महत्वपूर्ण चीज़ के लिए उस तरह की सेवा पर निर्भर रहना चाहेंगे? क्योंकि अनुबंधों में आमतौर पर गैर-प्रकटीकरण समझौते होते हैं, दरें निर्धारित करना कठिन हो सकता है, लेकिन यहां कुछ सार्वजनिक जानकारी है।


1. प्रतिस्पर्धी ऑडिट के लिए रिवॉर्ड पूल प्रतिस्पर्धी ऑडिट प्लेटफ़ॉर्म रिवॉर्ड पूल का विज्ञापन करते हैं, और निश्चित रूप से, यह पैसा ऑडिट के लिए भुगतान करने वाले ग्राहक से आ रहा है। यहां आप बहुत बड़ी परियोजनाओं के लिए न्यूनतम 5k और कभी-कभी सैकड़ों हजारों डॉलर तक के पुरस्कार पूल देख सकते हैं। बेशक, प्रतियोगिता चलाने वाले लोग मंच चलाने के लिए शुल्क की उम्मीद करते हैं, इसलिए वास्तविक लागत अधिक होगी।


2. ठेकेदार का वेतन ऑडिटिंग फर्म स्पीयरबिट ने उन दरों को प्रकाशित किया है जिस पर वे अपने ऑडिटरों (जो ठेकेदार हैं, कर्मचारी नहीं) को भुगतान करते हैं, इसलिए कोई भी अनुमान लगा सकता है कि इसके आधार पर ऑडिट की लागत कितनी होगी (संचालन और लाभ मार्जिन शामिल नहीं)। वरिष्ठता के आधार पर प्रति ऑडिटर का वेतन 3k-20k प्रति सप्ताह है। ध्यान रखें कि यह पूर्णकालिक नौकरी नहीं है, बल्कि प्रति-सगाई है।


3. स्वतंत्र लेखा परीक्षक हमारे पास एक अन्य डेटा बिंदु स्वतंत्र लेखा परीक्षक हैं जो कमाई के बारे में सार्वजनिक रहे हैं। एक का दावा है कि वह प्रति माह लगभग चार ऑडिट करके अच्छे महीनों में $40k प्रति माह कमाता है, दूसरे ने पांच ऑडिट के साथ एक महीने में $50,000 कमाने का दावा किया है। यह एक स्वतंत्र लेखापरीक्षक की अपेक्षा के उच्चतम स्तर पर है, लेकिन यह संभावना के दायरे से बाहर नहीं है; सिलिकॉन वैली की शीर्ष कंपनियों में स्टाफ इंजीनियर इससे अधिक कमाते हैं

ऑडिटर कैसे उद्धरण उत्पन्न करते हैं

कोई मानक मूल्य निर्धारण मॉडल नहीं है, लेकिन यहां कुछ प्रथाएं दी गई हैं जिनका उपयोग ऑडिटर अपने द्वारा उद्धृत मूल्य निर्धारित करने के लिए करते हैं।

कोड की प्रति पंक्ति डॉलर

एक सामान्य मूल्य निर्धारण मॉडल कोड की $/लाइन है। इसकी लागत प्रति पंक्ति कुछ डॉलर से लेकर दसियों डॉलर तक हो सकती है।

आकार और जटिलता

अन्य लेखा परीक्षक आकार और जटिलता के संयोजन का उपयोग करते हैं। 1,000 लाइन वाली एनएफटी 1,000 लाइन वाली गणित लाइब्रेरी की तुलना में काफी सरल है। ऑडिटिंग फर्म इन कारकों के संयोजन के आधार पर व्यक्तिपरक निर्णय लेगी।

मौजूदा प्रोटोकॉल से समानता

यदि ऑडिट किया जाने वाला प्रोजेक्ट किसी स्थापित प्रोजेक्ट से अलग है, या बहुत समान है, तो कुछ ऑडिटर छूट देंगे, क्योंकि वे यह निर्धारित करने के लिए पिछले ऑडिट का लाभ उठा सकते हैं कि क्या आपके प्रोजेक्ट ने पिछली गलतियों से सीखा है। साथ ही, जिन लाइनों की समीक्षा नहीं की गई है उनकी कुल संख्या परियोजना का एक छोटा प्रतिशत है। विभिन्न लेखा परीक्षकों के पास स्थापित परियोजनाओं के लिए "समान" के लिए एक अलग सीमा होगी।

प्रति भेद्यता भुगतान करें

यह मॉडल स्वतंत्र लेखा परीक्षकों के बीच आम है। सुरक्षा शोधकर्ता को एक छोटा डाउनपेमेंट दिया जाता है और उच्च गंभीरता वाले मुद्दों के लिए उच्च कीमत के साथ पाए गए प्रत्येक बग के लिए भुगतान प्राप्त होता है। इससे ऑडिटर को अधिक मेहनत से खोज करने के लिए प्रोत्साहित करने का लाभ है, लेकिन यह बग की गंभीरता को बढ़ा-चढ़ाकर बताने के लिए भी प्रोत्साहित कर सकता है।

ऑडिट इतने महंगे क्यों हैं?

अन्य अत्यधिक विशिष्ट ज्ञान कार्यकर्ताओं, जैसे वकील (जिनमें से सर्वश्रेष्ठ प्रति माह दस लाख डॉलर से अधिक कमा सकते हैं) की तुलना में, स्मार्ट कॉन्ट्रैक्ट ऑडिट अत्यधिक महंगे नहीं हैं, लेकिन वे छोटी कंपनियों के लिए एक महत्वपूर्ण बोझ हो सकते हैं।


स्मार्ट कॉन्ट्रैक्ट ऑडिटर बनना आसान नहीं है। आम तौर पर, आवश्यक कौशल स्तर सिलिकॉन वैली में अत्यधिक प्रतिस्पर्धी नौकरी पाने की कोशिश के बराबर है, जिसका मतलब है कि शुरुआती वेतन आसानी से छह-अंकीय क्षेत्र में होगा। एक ऑडिटिंग फर्म को लाभदायक बने रहने के लिए उन वेतनों के ऊपर एक महत्वपूर्ण मार्जिन चार्ज करने की आवश्यकता होती है, इसलिए यह आश्चर्य की बात नहीं होनी चाहिए कि ऑडिट में सैकड़ों हजारों डॉलर नहीं तो हजारों डॉलर खर्च होते हैं।

रेयरस्किल्स से सहायता चाहते हैं?

रेयरस्किल्स कोई ऑडिटिंग फर्म नहीं है, लेकिन हमारे कई प्रशिक्षक पेशेवर ऑडिटर हैं, और हम सुरक्षा अनुसंधान में संलग्न हैं। हमारे पास अंदरूनी दृष्टिकोण है कि कौन सी कंपनियां प्रतिष्ठित हैं और कौन सी नहीं। बेझिझक हमसे संपर्क करें और हमें अपनी आवश्यकताओं के बारे में बताएं, और हम आपकी स्थिति के आधार पर आपको सही संसाधन के बारे में बताएंगे।


यदि आप अपने इंजीनियरों को सुरक्षित स्मार्ट अनुबंध विकसित करने के लिए प्रशिक्षित करना चाहते हैं, तो पेशेवर इंजीनियरों के लिए हमारा उद्योग-अग्रणी स्मार्ट अनुबंध बूटकैंप आपके लिए रुचिकर हो सकता है।


यहाँ भी प्रकाशित किया गया है.