重大度の低い検出結果が重大なバグよりも監査について多くを語る理由 多くの監査法人は、事前の監査、ピアレビュー、テストカバレッジレベル、コードの複雑さ、行数、その他多くの指標など、コンテキストを差し込まずにノイズにとどまらないかのように、発見されたHighの数に売り込みを集中させています。これは最も低いセールスマンシップの形態であり、たとえば、USBドライブの品質をミリメートル単位の長さで比較するのと変わりません。 代替案を示すためには、まず、いくつかの裏付けとなる主張の正しさを主張しなければならない。 - 偶発的なバグインジェクションの可能性は、より大きな影響に偏っていません(開発者はハイステークスのコードでより無謀ではなく、通常はその逆です)。 - さまざまな重大度の欠陥を発見するために使用されるのと同じ包括的な方法論は、重大度の高い問題も発見します(その逆は成り立ちません)。 - ランダムなバグが深刻度が高いと認定されるためには、はるかに高い要件があります (多くの場合、到達できない条件の背後にゲートが付けられたり、重要でない機能に触れたりします)。 - 基本的な統計から:サンプリングレートが高いほど、予想される偏差/分散が低くなり、より正確な測定が可能になります。 監査レポートは、コードベースの品質をサンプリングした結果として定義しましょう。予想される真の (ミスなし) の高値は低値よりもはるかに少なく、その周りの予想される偏差は (サンプルが小さいため) はるかに高いと推論します。言い換えれば、高値の数からは、見逃された高値の数についてほとんどわかりません。 そのため、驚くべきことに、1 の Highs, 10 の Lows レポートは、他のすべてが同じであれば 10 の Highs, 1 の Lows レポートよりも安心感があります。実際には、セールスマンの大多数は、品質の指標として後者を表示することを好みます。重要なのは、高頻度のメトリクスは、低頻度の結果を測定するためのより優れたツールであるということです。 Web3ビルダーの皆さん、次回、企業があなたに彼らのクリティカル/ハイカウントとX数十億ドルの安全なラインを振るとき、あなたは真のシグナルを探すためにどこに焦点を当てるべきかを知っています。 Web3の監査人は、すべての高値を見つけるための一貫した秘密の公式はなく、安値も探さずに - 十分に調査されていないすべての安値は潜在的な高値です - そして、すべての行に最善の注意を払います。あなたのクライアントはそれについてあなたに感謝するでしょう。 重大度が低いとは、より高いレベルの影響をもたらさない具体的なコーディングの誤りとして定義されます。書式設定、ベスト プラクティス、フィラーの調査結果は含まれません。