Por que as descobertas de baixa gravidade dizem mais sobre sua auditoria do que os bugs críticos Muitas empresas de auditoria concentram seu discurso de vendas no número de Highs encontrados como se esse número não fosse apenas ruído sem conexão com o contexto: auditorias anteriores, revisão por pares, níveis de cobertura de teste, complexidade de código, contagem de linhas e muitas outras métricas. É a forma mais baixa de vendas, não diferente de comparar, por exemplo, a qualidade da unidade USB por seu comprimento em milímetros. Para mostrar uma alternativa, primeiro devemos afirmar a exatidão de várias afirmações de apoio: - A probabilidade de injeção acidental de bugs não tem viés para impactos mais altos (os desenvolvedores não são mais imprudentes em códigos de alto risco, geralmente o oposto). - As mesmas metodologias abrangentes usadas para descobrir falhas de várias gravidades também descobririam problemas de alta gravidade (o oposto não é válido). - Existem requisitos muito mais altos para que um bug aleatório se qualifique como de alta gravidade (muitas vezes ele seria bloqueado por condições inacessíveis ou tocaria em funcionalidades não críticas). - Das estatísticas básicas: uma taxa de amostragem mais alta se correlaciona com um menor desvio/variância esperada e, portanto, uma medição mais precisa. Vamos definir um relatório de auditoria como o resultado da amostragem da qualidade de uma base de código. Deduzimos que o número real esperado (sem erros) de máximos é muito menor do que os mínimos, e o desvio esperado em torno dele é muito maior (devido à amostra menor). Em outras palavras, o número de máximas nos diz muito pouco sobre o número de máximas perdidas. Então, surpreendentemente, um relatório de 1 alta, 10 baixas é mais tranquilizador do que um relatório de 10 altas, 1 baixa sendo tudo o mais igual. Embora, de fato, a grande maioria dos vendedores prefira mostrar o último como uma indicação de qualidade. A questão é que uma métrica de alta frequência é uma ferramenta melhor para medir resultados de baixa frequência. Construtores Web3, da próxima vez que as empresas acenarem com suas contagens Crit/High e X bilhões de $ linha segura, você sabe onde se concentrar para procurar o sinal verdadeiro. Auditores da Web3, reconheçam que não existe uma fórmula secreta consistente para encontrar todos os altos sem também procurar os baixos - cada baixa não totalmente investigada é uma alta potencial - e dê a melhor atenção a cada linha. Seu cliente vai agradecer por isso. A baixa gravidade é definida como erros de codificação concretos que não resultam em impactos de nível mais alto. Não inclui formatação, práticas recomendadas e descobertas de preenchimento.