Сначала Executive summary и scope. В резюме ищите сроки, используемые методы (ручной анализ, формальная верификация, фреймворки), ограничения. В scope – точный список проверенных файлов и контрактов, их версии/хеши и сеть. Несовпадение с боевыми адресами – красный флаг.
Severity и доказательная база. Серьезность ошибок/уязвимостей обычно маркируют как Critical/High/Medium/Low/Info. Важны не ярлыки, а обоснование: описание сценария атаки, затронутые инварианты, PoC, ссылки на строки кода, предложенное исправление. Чем конкретнее, тем лучше. Слишком много «критических» ошибок без технических деталей – повод усомниться в качестве работы.
Инфляция severity. Иногда аудиторы сознательно завышают уровень угрозы: малозначительные замечания маркируются как High, чтобы отчет выглядел более «серьезным». Для инвестора это может создать иллюзию активной работы, хотя реальных рисков там немного. Чтобы не попасться, смотрите на детали: если баг обозначен как High, но нет сценария атаки и примеров кода – скорее всего, это искусственное завышение.
Статусы исправлений. У каждой находки должен быть текущий статус: Fixed/Resolved, Mitigated, Acknowledged, Won’t fix. Критичные и серьезные – только «исправлено» с подтверждением аудитора. «Признано» или «смягчено» для High/Critical – риск, который нужно отдельно обсуждать с командой.
Re-audit и диффы. После фиксов обязателен повторный заход: короткий re-audit, письмо-верификация или новая версия отчета. Проверьте, что исправляли ровно то, что нашли, и что по пути не добавили новые баги. Если код в проде новее, чем в отчете, попросите дифф изменений и их отдельную проверку.