Proč zjištění s nízkou závažností vypovídají o vašem auditu více než kritické chyby Mnoho auditorských firem zaměřuje svou prodejní prezentaci na počet nalezených maxim, jako by toto číslo nebylo jen šumem bez zapojení do kontextu: předchozí audity, peer review, úrovně pokrytí testů, složitost kódu, počet řádků a mnoho dalších metrik. Je to nejnižší forma prodeje, neliší se od porovnávání například kvality USB disků podle jejich délky v milimetrech. Abychom ukázali alternativu, musíme nejprve tvrdit správnost několika podpůrných tvrzení: - Pravděpodobnost náhodného vložení chyby nemá žádný sklon k vyšším dopadům (vývojáři nejsou lehkomyslnější v kódu s vysokými sázkami, obvykle naopak). - Stejné komplexní metodiky, které se používají k odhalování nedostatků různé závažnosti, by také odhalily problémy s vysokou závažností (opak neplatí). - Existují mnohem vyšší požadavky na to, aby se náhodná chyba kvalifikovala jako vysoce závažná (často by byla uzavřena za nedosažitelnými podmínkami nebo by se dotkla nekritických funkcí). - Ze základních statistik: vyšší vzorkovací frekvence koreluje s nižší očekávanou odchylkou/rozptylem a tím i s přesnějším měřením. Definujme zprávu o auditu jako výsledek vzorkování kvality kódové základny. Odvodili jsme, že očekávaný skutečný počet maxim (bez chyb) je mnohem nižší než minima a očekávaná odchylka kolem něj je mnohem vyšší (kvůli menšímu vzorku). Jinými slovy, počet maxim nám říká jen velmi málo o počtu zmeškaných maxim. Takže překvapivě je zpráva 1 High, 10 Lows více uklidňující než zpráva 10 Highs, 1 Low hlásí, že vše ostatní je stejné. I když ve skutečnosti by drtivá většina obchodníků raději ukazovala to druhé jako známku kvality. Jde o to, že vysokofrekvenční metrika je lepším nástrojem pro měření nízkofrekvenčních výsledků. Tvůrci Web3, až vám příště firmy zamávají svými Crit/High počty a X miliardami $ zajištěných linek, víte, na co se zaměřit při hledání skutečného signálu. Auditoři Web3, uvědomují si, že neexistuje žádný konzistentní tajný vzorec pro nalezení všech Výšin, aniž byste zároveň hledali Maxima - každé Minimum, které není plně prozkoumáno, je potenciální Vysoké - a věnujte maximální pozornost každé jednotlivé linii. Váš klient vám za to poděkuje. Nízká závažnost je definována jako konkrétní chyby v kódování, které nevedou k dopadům na vyšší úrovni. Nezahrnuje formátování, osvědčené postupy a zjištění výplně.