Į „DeFi“ saugumo auditą žiūriu taip pat, kaip ir į bet kokią saugumui kritinę apžvalgą. Pats dokumentas yra mažiau svarbus nei procesas už jo. Poliruotas pranešimas be griežtumo įrodymų nėra raminantis.
Pirmiausia patikrinu, kas atliko auditą ir kaip jie dirba. Patikimumas kyla iš komandų, kurios nuolat susiduria su realiais incidentais. Įmonės, kurios skelbia pomirtines analizes, prisideda prie atvirojo kodo saugumo įrankių kūrimo arba turi patirties nustatant problemas, kurios vėliau pasirodė reikšmingos, turi didesnį svorį nei įmonės, kurios reklamuoja tik švarius pranešimus. Noriu matyti įvardintus auditorius, o ne tik prekės ženklą.
Toliau žiūriu į apimtį ir gilumą. Patikimas auditas konkrečiai nurodo, kas buvo peržiūrėta, o kas ne. Išmaniųjų sutarčių auditai, kurie ignoruoja valdymo logiką, atnaujinimo kelius ar orakulo priklausomybes, palieka akluosius taškus. Jei apimtis neapima kritinių komponentų be aiškaus pagrindimo, tai yra raudona vėliava. Geruose audituose aiškiai paaiškinamos prielaidos ir apribojimai.
Metodika yra svarbi. Tikiuosi, kad bus derinamas rankinis peržiūra ir automatinė analizė. Vien tik įrankiai praleidžia kontekstą. Vien tik rankinis peržiūras praleidžia mastelį. Stiprūs auditai paaiškina, kaip problemos buvo atrastos, suskirstytos ir patikrintos. Sunkumo įvertinimai turėtų būti pagrįsti, o ne bendri. Kai viskas pažymėta kaip vidutinė, tai man mažai ką sako.
Išvados yra svarbesnės už balą. Patikimas auditas atskleidžia projektavimo riziką, o ne tik klaidas. Įėjimo ir prieigos kontrolės problemos yra pagrindinės. Įžvalgos atsiranda, kai auditoriai abejoja paskatomis, gedimų režimais ir tuo, kaip sistema elgiasi esant įtampai. Atkreipiu dėmesį į tai, ar auditas aptaria ekonominius išnaudojimus, o ne tik kodo teisingumą.
Atitaisymas yra dar vienas signalas. Gerame audite parodoma, kaip problemos buvo išspręstos ir ar pataisymai buvo peržiūrėti iš naujo. Jei ataskaitoje pateikiamos išvados be tolesnių veiksmų įrodymų, ji yra neišsami. Taip pat ieškau nepašalintos rizikos pripažinimo. Sąžiningi auditai pripažįsta tai, ko negalima visiškai sušvelninti.
Galiausiai, aš žiūriu į elgesį po audito. Ar projektas atliko kelis auditus? Ar jie pridėjo klaidų premijas? Ar jie sustabdė paleidimus, kai iškilo problemų? Saugumas nėra vienkartinis įvykis. Komandos, kurios į auditus žiūri kaip į varnelę, paprastai daro minimumą. Komandos, kurios žiūri į juos kaip į nuolatinės disciplinos dalį, užsitarnauja pasitikėjimą. Pagrindinis testas yra paprastas. Patikimas auditas sumažina neapibrėžtumą. Jei jis skamba kaip rinkodara, jis neveikia.
