Hvorfor funn med lav alvorlighetsgrad sier mer om revisjonen din enn kritiske feil Mange revisjonsfirmaer fokuserer salgsargumentet sitt på antall høyder funnet som om dette tallet ikke bare er støy uten å koble til kontekst: tidligere revisjoner, fagfellevurdering, testdekningsnivåer, kodekompleksitet, linjeantall og mange andre beregninger. Det er den laveste formen for salgskunst, ikke forskjellig fra å sammenligne for eksempel USB-stasjonskvalitet etter lengden i millimeter. For å vise et alternativ må vi først hevde riktigheten av flere støttende påstander: - Sannsynligheten for utilsiktet feilinjeksjon har ingen skjevhet mot høyere innvirkning (utviklere er ikke mer hensynsløse i kode med høy innsats, vanligvis det motsatte). - De samme omfattende metodene som brukes til å oppdage feil av ulik alvorlighetsgrad vil også oppdage problemer med høy alvorlighetsgrad (motsatt holder ikke). - Det er mye høyere krav for at en tilfeldig feil skal kvalifisere som høy alvorlighetsgrad (ofte vil den være inngjerdet bak utilgjengelige forhold, eller berøre ikke-kritisk funksjonalitet). - Fra grunnleggende statistikk: høyere samplingsfrekvens korrelerer med lavere forventet avvik/varians og dermed en mer nøyaktig måling. La oss definere en revisjonsrapport som et resultat av sampling av kvaliteten på en kodebase. Vi utleder at det forventede sanne (ingen glipp) antallet høyder er mye lavere enn nedturer, og det forventede avviket rundt det er mye høyere (på grunn av mindre utvalg). Med andre ord, antallet høyder forteller oss veldig lite om antall tapte høyder. Så overraskende nok er en 1 High, 10 Lows-rapport mer betryggende enn en 10 Highs, 1 Low-rapport alt annet likt. Selv om faktisk de aller fleste selgere foretrekker å vise sistnevnte som en indikasjon på kvalitet. Poenget er at en høyfrekvent beregning er et bedre verktøy for å måle lavfrekvente utfall. Web3-byggere, neste gang firmaer vinker deg sine Crit/High-tellinger og X milliarder av $ sikret linje, vet du hvor du skal fokusere for å søke etter ekte signal. Web3-revisorer, erkjenn at det ikke er noen konsekvent hemmelig formel for å finne alle høydepunktene uten også å søke etter nedturene - hver lav som ikke er fullstendig undersøkt er en potensiell høy - og gi din beste oppmerksomhet til hver eneste linje. Klienten din vil takke deg for det. Lav alvorlighetsgrad er definert som konkrete kodefeil som ikke resulterer i påvirkninger på høyere nivå. Inkluderer ikke formatering, anbefalte fremgangsmåter og utfyllende funn.