译文出自:登链翻译计划[1]
译者:翻译小组[2]
校对:Tiny 熊[3]
审计:是对项目代码库的外部安全评估,通常由项目团队要求并支付费用。
它检测并描述(在报告中)安全问题,包括潜在的漏洞、严重程度/难度、潜在的利用方案和建议的修复。
它还提供了对代码质量、文档和测试的主观见解。
审计报告的范围/深度/格式在不同的审计团队中有所不同,但它们通常涵盖类似的方面。
- 审计范围:对于基于以太坊的智能合约项目,范围通常是链上智能合约代码,有时也包括与智能合约交互的链下组件。
审计目标:审计的目标是评估项目代码(以及任何相关的规范、文件),并提醒项目团队(通常在启动之前)需要解决的潜在安全相关问题,以改善安全态势,减少攻击面并减轻风险。
非审计目标:无论如何,审计都不是对”无缺陷”代码的安全保证,而是由训练有素的安全专家在合理的时间、理解、专业知识和当然的可判定性限制下进行的最佳努力。
审计目标:安全公司为支付其服务的客户执行审计。因此,审计工作是优先为项目方服务,而不是针对项目用户/投资者。审计的目的不是为了提醒潜在的项目用户任何内在的风险。这不是他们的业务/技术目标。
审计需要:基于智能合约的项目没有足够丰富以太坊智能合约安全专业知识和/或时间来进行内部安全评估,因此依赖于在这些领域拥有领域专业知识的外部专家。即使项目内部有一些专业知识,他们仍然会