首页 > 币圈新闻 > 文章正文

DeFi创业者经验谈:如何选择安全审计商 该有怎样的“审计观”

币灵灵财经 2024-11-26 02:22 1372

PANews特约作者:Leo,DeFi项目联合创始人

安全服务商纵览,货比N家

DeFi创业者经验谈:如何选择安全审计商 该有怎样的“审计观”

审计流程、方法论和省钱指南

1-送审的代码在内部要进行过2轮以上的测试,如果时间允许,最好是再有一轮社区的公测后再送审,避免「显而易见」的问题需要付费解决;

2-送审的代码要尽量确保按照项目方的milestone,批量打包,一次性交付审计,避免拉高成本;

3-确保送审的对接人清楚产品整体的运行原理、大致的代码量以及主要模块的分布,避免在initial setup阶段需求传达不清,给项目拿回一份不合适的报价单;

4-排期要比较,重要产品节点有必要付费锁定排期。

1)审计的中间进度如期进行;

2)审计商提供的初版审计报告须要让项目团队中的2位不同技术人员去交叉review,再同步审计商定稿与否;

3)审计对接人要做好勾联同步的作用,确保本团队关键技术、产品人员,与审计商中实际进行代码review的人建立群聊,而不是被动地等待审计商出报告和签字;

4)【锦上添花】对接人能够在审计过程中对市面上其他家审计商发的「安全事件review报告」保持关注,对可能匹配自家项目的情况,主动提出和审计商沟通,前置地把可能没覆盖的问题给debug。

项目方要有鲜明的「偏见」,保留后门有必要

持续沟通和分享才能推动长线安全

项目方决策层应具备hakcer思维,重视社区力量