स्मार्ट कॉन्ट्रैक्ट ऑडिट ब्लॉकचेन सुरक्षा विशेषज्ञों द्वारा की जाने वाली समीक्षा है ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ताओं को किसी खराबी या सुरक्षा भेद्यता के कारण धन की हानि नहीं होगी। इसके अलावा, एक ऑडिट अनुबंध तैनात होने से पहले अप्रत्याशित और अवांछनीय स्मार्ट अनुबंध व्यवहार का अनुमान लगाने की कोशिश करता है।
इस क्षेत्र में नेविगेट करना मुश्किल है. दर्जनों ऑडिट फर्म हैं, और उनमें से कई से उद्धरण प्राप्त करने में समय लगता है, और यह जानना कठिन है कि आपको उचित मूल्य मिल रहा है या नहीं।
यह लेख स्मार्ट कॉन्ट्रैक्ट ऑडिट प्राप्त करने के कार्य को शुरू करने के लिए शुरुआती बिंदु के रूप में काम करने में मदद करेगा।
इस लेख में ऑडिटिंग फर्मों के संदर्भ को समर्थन के रूप में नहीं समझा जाना चाहिए।
शब्द "स्मार्ट कॉन्ट्रैक्ट ऑडिट" उद्योग की भाषा का विकास है, इसकी कोई कठोर परिभाषा नहीं है, और इसका अलग-अलग लोगों के लिए अलग-अलग मतलब हो सकता है। उन उद्योगों से आने वालों के लिए जहां आईएसओ मानक आदर्श हैं, स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग जंगली पश्चिम की तरह प्रतीत होगी (और स्पष्ट रूप से, यह एक सटीक मूल्यांकन होगा)।
हालाँकि कुछ स्मार्ट अनुबंध कमजोरियाँ सर्वविदित हैं, अन्य जटिल प्रणालियों के उभरते गुण हैं और व्यवस्थित रूप से पता लगाना कठिन है।
मानक परिपक्व बाज़ारों की विशेषता हैं, और वेब3 समग्र रूप से एक परिपक्व बाज़ार नहीं है।
स्मार्ट कॉन्ट्रैक्ट ऑडिट को "ऑडिट" कहना कुछ हद तक शर्तों का मिश्रण है। लेखांकन के क्षेत्र में, "ऑडिट" की एक बहुत ही कठोर परिभाषा है; ब्लॉकचेन इंजीनियरिंग में ऐसा नहीं है. ब्लॉकचेन में जिसे "ऑडिट" कहा जाता है, वह विशेषज्ञों की एक टीम द्वारा की जाने वाली सुरक्षा समीक्षा है।
इसे और भी भ्रमित करने वाली बात यह है कि स्मार्ट कॉन्ट्रैक्ट में किसी को ऑडिटर या सुरक्षा विशेषज्ञ बनाने की कोई औपचारिक परिभाषा या प्रमाणन नहीं है। हां, प्रमाणपत्र बेचने वाली कंपनियां हैं, लेकिन उद्योग में इन प्रमाणपत्रों का कोई महत्व नहीं है।
जैसा कि आप उम्मीद कर सकते हैं, कई उद्यमशील व्यक्ति हैं जो विशेषज्ञता को बेचने के लिए भ्रम का फायदा उठा रहे हैं जो उनके पास नहीं है - क्योंकि विशेषज्ञता को मापने का कोई स्थापित तरीका नहीं है।
चेतावनी खाली करनेवाला.
जो कुछ भी कहा गया है, उद्योग में इस बात पर व्यापक सहमति है कि "इस स्मार्ट अनुबंध का ऑडिट किया गया है" का अर्थ है "सुरक्षा विशेषज्ञों के एक समूह को इस कोडबेस की समीक्षा करने और मुद्दों को खोजने के लिए भुगतान किया गया था।" चूंकि विशेषज्ञता की कोई औपचारिक परिभाषा नहीं है, इसलिए उद्योग की प्रतिष्ठा को अक्सर प्रॉक्सी के रूप में उपयोग किया जाता है।
ये वे कंपनियाँ हैं जो सुरक्षा अनुसंधान में विशेषज्ञ हैं। कुछ केवल स्मार्ट अनुबंधों का ऑडिट करते हैं, जबकि अन्य स्मार्ट अनुबंधों और पारंपरिक कंप्यूटर अनुप्रयोगों का ऑडिट करते हैं। आप इसे सुरक्षा शोधकर्ताओं से बनी एक एजेंसी के रूप में सोच सकते हैं। हाल तक, स्मार्ट कॉन्ट्रैक्ट ऑडिट प्राप्त करने का यह मानक तरीका था। यदि आप स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग कंपनियों के लिए Google खोज करते हैं, तो आपको आमतौर पर इस प्रकार के परिणाम मिलेंगे।
किसी कंपनी से जुड़ने के बजाय, कुछ सुरक्षा शोधकर्ता अपने लिए काम करते हैं। उन्हें ढूंढना थोड़ा कठिन है क्योंकि एजेंसियों की तुलना में उनके पास बहुत कम विपणन बजट है, लेकिन क्योंकि उनके पास कम ओवरहेड है, वे अक्सर बेहतर कीमतें प्रदान कर सकते हैं।
एक कमी यह है कि एक फर्म कई ऑडिटरों से आपके कोड की समीक्षा करवा सकती है, जबकि एक स्वतंत्र ऑडिटर के पास केवल एक समीक्षक होगा। लेकिन छोटे या कम जटिल कोडबेस के लिए, यह अधिक लागत प्रभावी हो सकता है।
हाल ही में, कुछ प्लेटफ़ॉर्म ( शर्लक डेफ़ी , कोड4रेना ) सामने आए हैं, जहां ऑडिट का अनुरोध करने वाली कंपनियां मौद्रिक पुरस्कार पूल के साथ प्लेटफ़ॉर्म पर अपना स्रोत कोड प्रकाशित करती हैं, और फिर स्वतंत्र प्रतियोगी बग और कमजोरियों को खोजने का प्रयास करते हैं।
एक प्रतियोगी को जितने अधिक बग मिलेंगे, वह उतना अधिक पैसा कमाएगा, लेकिन यदि किसी अन्य प्रतियोगी को वही बग मिलता है, तो भुगतान दोनों के बीच कम हो जाता है। अच्छी तरह से समझे गए बग के लिए, भुगतान को काफी कम किया जा सकता है।
इस प्रारूप में लेखा परीक्षकों की कमाई काफी कम है। काफी प्रयास करने के बावजूद प्रतियोगी शायद ही कभी प्रति प्रतियोगिता $1,000 से अधिक कमाने की उम्मीद कर सकते हैं। प्रतिभागियों के लिए प्राथमिक प्रोत्साहन उनकी क्षमताओं को साबित करना है ताकि वे एक पारंपरिक ऑडिट फर्म में नौकरी पा सकें या एकल ऑडिटर (स्वतंत्र शोधकर्ता) के रूप में व्यवसाय को आकर्षित कर सकें। प्रतियोगिता में भाग लेने वाले लोगों की गुणवत्ता की भी कोई गारंटी नहीं है, क्योंकि कोई भी भाग ले सकता है।
हालाँकि, ये प्लेटफ़ॉर्म नए ऑडिटरों के लिए बहुत शैक्षिक हो सकते हैं। क्योंकि प्रारूप बग ढूंढने पर गहन फोकस को प्रोत्साहित करता है, फिर कौन से बग छूट गए हैं, इस पर फीडबैक देता है, वे अपेक्षाकृत सख्त फीडबैक लूप प्रदान कर सकते हैं जो सीखने में तेजी लाने में मदद करता है। वास्तव में, हम शैक्षिक उद्देश्यों के लिए इन प्रतियोगिताओं में भाग लेने के लिए अपने कुछ सॉलिडिटी प्रशिक्षण का मार्गदर्शन करते हैं।
सर्वश्रेष्ठ लेखा परीक्षक प्रतियोगिताओं में बहुत अधिक समय नहीं बिताते हैं, क्योंकि वे अपने लिए या किसी फर्म के लिए काम करके कहीं अधिक पैसा कमाते हैं। इसलिए ध्यान रखें कि ऑडिटिंग प्रतियोगिता में अच्छा प्रदर्शन करने वाले किसी व्यक्ति का सीधा सा मतलब यह हो सकता है कि जिस प्रतियोगिता में उन्होंने भाग लिया था, उसके लिए उन्हें महत्वपूर्ण प्रतिस्पर्धा का सामना नहीं करना पड़ा। भाग्य का एक तत्व यह भी है जहां एक प्रतियोगिता ऑडिटर की सार्वजनिक कमाई का एक महत्वपूर्ण हिस्सा बनाती है। .
हालाँकि, इस प्रारूप में अन्य ऑडिट प्रारूपों की तुलना में कोड पर कहीं अधिक नज़र होती है, और ऑडिट प्रतियोगिताओं में अन्य ऑडिटरों द्वारा छोड़े गए बग पकड़े गए हैं। वे कंपनियों के लिए डेवलपर और ऑडिटर समुदायों के लिए अपने प्रोटोकॉल को सूक्ष्मता से विपणन करने के लिए एक चैनल के रूप में भी काम करते हैं, इसलिए वे पारिस्थितिकी तंत्र में एक मूल्यवान योगदान हैं।
कुछ डेवलपर डिसॉर्डर समूह आपके कोड की निःशुल्क समीक्षा करेंगे (सहायक होने की इच्छा से, इसलिए कृपया दूसरों की उदारता का दुरुपयोग न करें)। यदि आपके पास एक छोटा और सरल कोडबेस है, तो कभी-कभी कुछ विशेषज्ञों से अपना समय दान करवाना आपके लिए सबसे अधिक लागत प्रभावी मार्ग हो सकता है। ऐसी समीक्षा को "ऑडिट" कहा जाना बेहद कपटपूर्ण होगा, लेकिन यदि यह एकमात्र विकल्प उपलब्ध है, तो यह निश्चित रूप से समीक्षा न करने से बेहतर है।
कुछ ऑडिटर स्मार्ट अनुबंध कमजोरियों की सूची के लिए एक कठोर चेकलिस्ट का उपयोग करते हैं और जांचते हैं कि समस्या मौजूद है या नहीं। यह पहली बार के लिए अच्छा है, लेकिन कई बग एप्लिकेशन-विशिष्ट हैं (जैसा कि हमने उस लेख में नोट किया है)। आप यह सुनिश्चित करना चाहते हैं कि ऑडिटर आपके आवेदन की बारीकियों और व्यावसायिक आवश्यकताओं पर विचार करेगा। उनके पिछले ऑडिट को देखकर, आप देख सकते हैं कि क्या वे स्वचालित रूप से किसी सूची के विरुद्ध जाते हैं या आपके आवेदन की बारीकियों में गहराई से उतरते हैं। एक ऑडिटर द्वारा पिछले ऑडिट की आपूर्ति नहीं करना आम तौर पर एक खतरे का संकेत है।
यदि आपका प्रोजेक्ट विदेशी डेफी टोकनोमिक्स या जीरो नॉलेज प्रूफ़ का उपयोग करता है, तो आप यह सुनिश्चित करना चाहेंगे कि आपके चयनित ऑडिटर के पास इसका अनुभव हो। इसी तरह, यदि आप सोलाना जैसी गैर-ईवीएम संगत श्रृंखला पर एक डैप बना रहे हैं, तो आप उस ब्लॉकचेन के साथ अनुभवी ऑडिटर चाहेंगे।
कुछ ऑडिट फर्म ईआरसी20 टोकन या बेसिक एनएफटी जैसे छोटे कोडबेस से परेशान नहीं होंगी क्योंकि वे बिक्री कॉल और खाता प्रबंधन के लिए भुगतान करने के लिए पर्याप्त पैसा नहीं कमाएंगे।
क्योंकि ऑडिट के लिए कोई औपचारिक या स्वीकृत परिभाषा नहीं है, कुछ कंपनियां सामने आई हैं जो उपहासपूर्ण रूप से "रबर स्टांप ऑडिट" के रूप में जानी जाती हैं। ये कंपनियाँ ऑडिट रिपोर्ट केवल इसलिए प्रदान करती हैं क्योंकि खरीदार ऑडिट चाहता था ताकि वे अपने ग्राहकों को बता सकें, "देखो, हमारा ऑडिट किया गया है!"
प्रत्येक प्रोटोकॉल को जानबूझकर रबर स्टैम्प ऑडिट नहीं मिलता है; हो सकता है कि उन्होंने ऑडिटर को केवल इस बात से अनजान चुना हो कि वे रबर स्टाम्प ऑडिटर हैं।
भले ही किसी स्मार्ट कॉन्ट्रैक्ट का ऑडिट किया गया हो, फिर भी इसे बाद में हैक किया जा सकता है; यह कोई दुर्लभ घटना नहीं है.
Rekt.news के पास एक लीडरबोर्ड है जो खोई गई धनराशि के आधार पर स्मार्ट कॉन्ट्रैक्ट हैक को ट्रैक करता है। यह देखना आसान है कि हैक किए गए अधिकांश प्रोटोकॉल का बिल्कुल भी ऑडिट नहीं किया गया था।
हालाँकि, कुछ प्रोटोकॉल में ऑडिट थे, कुछ में एक से अधिक, जो ऑडिटर अभी भी चूक गए थे। कुछ मामलों में, ऐसा इसलिए हो सकता है क्योंकि ऑडिटर अक्षम थे या उन्होंने पर्याप्त प्रयास नहीं किया, लेकिन सामान्य तौर पर, यह गारंटी देना संभव नहीं है कि कोडबेस बग से मुक्त है।
अच्छी खबर यह है कि कुछ कमज़ोरियाँ न केवल लेखापरीक्षकों द्वारा नज़रअंदाज़ की जाती हैं; वे हैकर्स से भी छूट जाते हैं। कुछ स्मार्ट अनुबंध पैच किए जाने से पहले महीनों तक लाइव भेद्यता के साथ चलते रहे थे। एक सभ्य ऑडिट यह सुनिश्चित करेगा कि हैकर्स के लिए "कम लटकने वाले फल" को समाप्त कर दिया जाए।
यह अच्छी तरह से वित्त पोषित डेफी प्रोटोकॉल के साथ मानक अभ्यास है जो बहुत सारा पैसा रखने का इरादा रखता है; तीन या अधिक ऑडिट फर्मों द्वारा कोड की समीक्षा करना बिल्कुल सामान्य है।
एक ऑडिटर जो भूल जाता है, दूसरा उसे पकड़ सकता है, और इसके विपरीत भी। इसी तरह, एक ऑडिटर को एक भेद्यता दिखाई दे सकती है, और डेवलपर्स एक अलग भेद्यता पेश करते समय उस भेद्यता को ठीक कर सकते हैं।
1. उद्धरण प्राप्त करें आप उद्धरण मांगने वाली विभिन्न फर्मों तक पहुंचेंगे, और आप उनकी उपलब्धता और आपकी लॉन्च तिथियों के आधार पर समन्वय करेंगे।
2. ऑडिट शुरू होता है जब आप ऑडिट के लिए जाएं तो आपको कोड फ़्रीज़ में होना चाहिए। यदि ऑडिटर आपके द्वारा उत्पाद के लिए लॉन्च किए गए कोडबेस से भिन्न कोडबेस की समीक्षा कर रहे हैं, तो आप संभवतः पैसा बर्बाद कर रहे हैं!
3. ऑडिट रिपोर्ट अधिकांश ऑडिट रिपोर्ट (जो एक निश्चित चेकलिस्ट का पालन नहीं करती हैं) गंभीर, उच्च, मध्यम, निम्न, सूचनात्मक और गैस अनुकूलन के रूप में वर्गीकृत निष्कर्षों की एक सूची लौटाएंगी। इन्हें निम्नलिखित अनुभाग में समझाया गया है। परियोजना के दायरे के आधार पर ऑडिट कुछ दिनों से लेकर कुछ महीनों तक का हो सकता है।
4. सुधारों की समीक्षा करें समझौते के आधार पर, ऑडिटर डेवलपर्स द्वारा किए गए परिवर्तनों की समीक्षा करेगा और सुनिश्चित करेगा कि सुधार वास्तव में बग का समाधान करता है। स्वीकार्य मानी जाने वाली पुनरीक्षण समीक्षाओं की संख्या लेखापरीक्षक पर निर्भर करती है।
5. रिपोर्ट प्रकाशित करें ऑडिटर आम तौर पर अपनी रिपोर्ट प्रकाशित करते हैं यदि ग्राहक अनुमति देता है (और ग्राहक आमतौर पर चाहते हैं कि ऑडिट सार्वजनिक हो ताकि यह दिखाया जा सके कि उनका ऑडिट किया गया है)।
अधिकांश ऑडिट रिपोर्ट समूह सुरक्षा निष्कर्षों को गंभीरता में रखती हैं:
गंभीर
उच्च
मध्यम
कम
सूचना
गैस अनुकूलन
सभी कंपनियाँ समान लेबल का उपयोग नहीं करतीं। जैसा कि हमने देखा, सार्वभौमिक मानकों की कमी के कारण, "उच्च" या "मध्यम" भेद्यता मानी जाने वाली कोई समान परिभाषा नहीं है। कुछ ऑडिटर समान बग निर्दिष्ट करने के लिए उचित रेटिंग के बारे में असहमत हैं, लेकिन यहां कुछ कारक दिए गए हैं जिनका उपयोग ऑडिटर गंभीरता निर्दिष्ट करने के लिए करते हैं:
सबसे ख़राब केस का नतीजा. सारी धनराशि का चोरी हो जाना विनाशकारी है। ऐसे बग जहां कोई हैकर धन नहीं चुरा सकता है लेकिन उपयोगकर्ताओं को अपने पैरों पर कुल्हाड़ी मारने से पर्याप्त रूप से सुरक्षित नहीं किया जाता है, उन्हें कम गंभीरता के साथ लेबल किया जाएगा।
प्रभावित उपयोगकर्ताओं की संख्या. पूरे प्रोटोकॉल में पैसा खोना एक व्यक्तिगत उपयोगकर्ता के पैसे खोने से भी अधिक गंभीर है।
हमले का संचालन करने के लिए प्रोत्साहन. यदि किसी हमलावर को किसी हमले को अंजाम देने के लिए प्राप्त होने वाली आय से अधिक पूंजी खर्च करने की आवश्यकता होती है, तो गंभीरता कम हो जाती है। यह अभी भी एक भेद्यता है क्योंकि हमलावर के पास हमले को अंजाम देने का गैर-आर्थिक मकसद हो सकता है (दिखावा करना, व्यक्तिगत प्रतिशोध, आदि)।
हमले की अस्पष्टता. यदि भेद्यता पहुंच नियंत्रण के अभाव जैसी है, तो एक अपरिष्कृत हमलावर हमले को अंजाम दे सकता है। यदि कमजोरी उन्नत गणित का उपयोग करके परिष्कृत टोकनोमिक्स तंत्र की गहरी समझ पर निर्भर करती है, तो इसकी संभावना कम है कि हमलावर को समस्या मिल जाएगी।
कुछ लेखा परीक्षक अंतिम दो कारकों को एक में जोड़ते हैं: हमले की संभावना। इस मॉडल के तहत, वे गंभीरता निर्दिष्ट करने के लिए निम्नलिखित तालिका का उपयोग करते हैं:
कुछ ऑडिटर महत्वपूर्ण कमजोरियों और उच्च कमजोरियों के बीच अंतर करते हैं, और अन्य ऑडिटर महत्वपूर्ण कमजोरियों को उच्च कमजोरियों के साथ समूहित करते हैं। किसी भी स्थिति में, इन्हें अत्यंत गंभीर बग माना जाता है! जो लोग भेद करते हैं, उनके लिए क्रिटिकल का मतलब यह हो सकता है कि पूरा प्रोटोकॉल गंभीर रूप से प्रभावित है, जबकि उच्च का मतलब है कि व्यक्तिगत उपयोगकर्ता गंभीर रूप से प्रभावित हो सकते हैं।
मध्यम गंभीरता के मुद्दों का मतलब आमतौर पर ऐसे मुद्दे होते हैं जो हानिकारक हो सकते हैं लेकिन घटित होने की संभावना नहीं होती है।
कुछ ऑडिटर सॉलिडिटी स्टाइल गाइड का पालन न करने या वैरिएबल और फ़ंक्शन नाम गलत वर्तनी वाले या भ्रामक होने जैसे मुद्दों को इंगित करेंगे। ये सुरक्षा संबंधी कमज़ोरियाँ नहीं हैं लेकिन भविष्य में भ्रम पैदा कर सकती हैं। सभी लेखापरीक्षक सूचनात्मक मुद्दों की ओर ध्यान नहीं दिलाते।
कुछ लेखा परीक्षक कुछ कोडों की गैस दक्षता में सुधार के तरीके सुझाएंगे। ये सुरक्षा से संबंधित नहीं हैं, लेकिन ये उपयोगकर्ता अनुभव को निश्चित रूप से बेहतर बनाएंगे।
सार्वजनिक जानकारी पर आधारित अनुमान
यदि आप फ़िवरर पर नज़र डालें, तो आपको कम कीमतों पर स्मार्ट अनुबंधों का ऑडिट करने के लिए कुछ सेवाएँ मिलेंगी, लेकिन क्या आप वास्तव में इस महत्वपूर्ण चीज़ के लिए उस तरह की सेवा पर निर्भर रहना चाहेंगे? क्योंकि अनुबंधों में आमतौर पर गैर-प्रकटीकरण समझौते होते हैं, दरें निर्धारित करना कठिन हो सकता है, लेकिन यहां कुछ सार्वजनिक जानकारी है।
1. प्रतिस्पर्धी ऑडिट के लिए रिवॉर्ड पूल प्रतिस्पर्धी ऑडिट प्लेटफ़ॉर्म रिवॉर्ड पूल का विज्ञापन करते हैं, और निश्चित रूप से, यह पैसा ऑडिट के लिए भुगतान करने वाले ग्राहक से आ रहा है। यहां आप बहुत बड़ी परियोजनाओं के लिए न्यूनतम 5k और कभी-कभी सैकड़ों हजारों डॉलर तक के पुरस्कार पूल देख सकते हैं। बेशक, प्रतियोगिता चलाने वाले लोग मंच चलाने के लिए शुल्क की उम्मीद करते हैं, इसलिए वास्तविक लागत अधिक होगी।
2. ठेकेदार का वेतन ऑडिटिंग फर्म स्पीयरबिट ने उन दरों को प्रकाशित किया है जिस पर वे अपने ऑडिटरों (जो ठेकेदार हैं, कर्मचारी नहीं) को भुगतान करते हैं, इसलिए कोई भी अनुमान लगा सकता है कि इसके आधार पर ऑडिट की लागत कितनी होगी (संचालन और लाभ मार्जिन शामिल नहीं)। वरिष्ठता के आधार पर प्रति ऑडिटर का वेतन 3k-20k प्रति सप्ताह है। ध्यान रखें कि यह पूर्णकालिक नौकरी नहीं है, बल्कि प्रति-सगाई है।
3. स्वतंत्र लेखा परीक्षक हमारे पास एक अन्य डेटा बिंदु स्वतंत्र लेखा परीक्षक हैं जो कमाई के बारे में सार्वजनिक रहे हैं। एक का दावा है कि वह प्रति माह लगभग चार ऑडिट करके अच्छे महीनों में $40k प्रति माह कमाता है, दूसरे ने पांच ऑडिट के साथ एक महीने में $50,000 कमाने का दावा किया है। यह एक स्वतंत्र लेखापरीक्षक की अपेक्षा के उच्चतम स्तर पर है, लेकिन यह संभावना के दायरे से बाहर नहीं है; सिलिकॉन वैली की शीर्ष कंपनियों में स्टाफ इंजीनियर इससे अधिक कमाते हैं ।
कोई मानक मूल्य निर्धारण मॉडल नहीं है, लेकिन यहां कुछ प्रथाएं दी गई हैं जिनका उपयोग ऑडिटर अपने द्वारा उद्धृत मूल्य निर्धारित करने के लिए करते हैं।
एक सामान्य मूल्य निर्धारण मॉडल कोड की $/लाइन है। इसकी लागत प्रति पंक्ति कुछ डॉलर से लेकर दसियों डॉलर तक हो सकती है।
अन्य लेखा परीक्षक आकार और जटिलता के संयोजन का उपयोग करते हैं। 1,000 लाइन वाली एनएफटी 1,000 लाइन वाली गणित लाइब्रेरी की तुलना में काफी सरल है। ऑडिटिंग फर्म इन कारकों के संयोजन के आधार पर व्यक्तिपरक निर्णय लेगी।
यदि ऑडिट किया जाने वाला प्रोजेक्ट किसी स्थापित प्रोजेक्ट से अलग है, या बहुत समान है, तो कुछ ऑडिटर छूट देंगे, क्योंकि वे यह निर्धारित करने के लिए पिछले ऑडिट का लाभ उठा सकते हैं कि क्या आपके प्रोजेक्ट ने पिछली गलतियों से सीखा है। साथ ही, जिन लाइनों की समीक्षा नहीं की गई है उनकी कुल संख्या परियोजना का एक छोटा प्रतिशत है। विभिन्न लेखा परीक्षकों के पास स्थापित परियोजनाओं के लिए "समान" के लिए एक अलग सीमा होगी।
यह मॉडल स्वतंत्र लेखा परीक्षकों के बीच आम है। सुरक्षा शोधकर्ता को एक छोटा डाउनपेमेंट दिया जाता है और उच्च गंभीरता वाले मुद्दों के लिए उच्च कीमत के साथ पाए गए प्रत्येक बग के लिए भुगतान प्राप्त होता है। इससे ऑडिटर को अधिक मेहनत से खोज करने के लिए प्रोत्साहित करने का लाभ है, लेकिन यह बग की गंभीरता को बढ़ा-चढ़ाकर बताने के लिए भी प्रोत्साहित कर सकता है।
अन्य अत्यधिक विशिष्ट ज्ञान कार्यकर्ताओं, जैसे वकील (जिनमें से सर्वश्रेष्ठ प्रति माह दस लाख डॉलर से अधिक कमा सकते हैं) की तुलना में, स्मार्ट कॉन्ट्रैक्ट ऑडिट अत्यधिक महंगे नहीं हैं, लेकिन वे छोटी कंपनियों के लिए एक महत्वपूर्ण बोझ हो सकते हैं।
स्मार्ट कॉन्ट्रैक्ट ऑडिटर बनना आसान नहीं है। आम तौर पर, आवश्यक कौशल स्तर सिलिकॉन वैली में अत्यधिक प्रतिस्पर्धी नौकरी पाने की कोशिश के बराबर है, जिसका मतलब है कि शुरुआती वेतन आसानी से छह-अंकीय क्षेत्र में होगा। एक ऑडिटिंग फर्म को लाभदायक बने रहने के लिए उन वेतनों के ऊपर एक महत्वपूर्ण मार्जिन चार्ज करने की आवश्यकता होती है, इसलिए यह आश्चर्य की बात नहीं होनी चाहिए कि ऑडिट में सैकड़ों हजारों डॉलर नहीं तो हजारों डॉलर खर्च होते हैं।
रेयरस्किल्स कोई ऑडिटिंग फर्म नहीं है, लेकिन हमारे कई प्रशिक्षक पेशेवर ऑडिटर हैं, और हम सुरक्षा अनुसंधान में संलग्न हैं। हमारे पास अंदरूनी दृष्टिकोण है कि कौन सी कंपनियां प्रतिष्ठित हैं और कौन सी नहीं। बेझिझक हमसे संपर्क करें और हमें अपनी आवश्यकताओं के बारे में बताएं, और हम आपकी स्थिति के आधार पर आपको सही संसाधन के बारे में बताएंगे।
यदि आप अपने इंजीनियरों को सुरक्षित स्मार्ट अनुबंध विकसित करने के लिए प्रशिक्षित करना चाहते हैं, तो पेशेवर इंजीनियरों के लिए हमारा उद्योग-अग्रणी स्मार्ट अनुबंध बूटकैंप आपके लिए रुचिकर हो सकता है।
यहाँ भी प्रकाशित किया गया है.