De ce constatările de severitate scăzută spun mai multe despre audit decât erorile critice Multe firme de audit își concentrează argumentul de vânzare pe numărul de High-uri găsite, ca și cum acest număr nu ar fi doar zgomot fără a se conecta la context: audituri anterioare, peer review, niveluri de acoperire a testelor, complexitatea codului, numărul de linii și mulți alți indicatori. Este cea mai mică formă de vânzare, nu diferită de compararea, de exemplu, a calității unităților USB prin lungimea lor în milimetri. Pentru a arăta o alternativă, trebuie mai întâi să afirmăm corectitudinea mai multor afirmații susținătoare: - Probabilitatea injectării accidentale a erorilor nu are nicio tendință spre un impact mai mare (dezvoltatorii nu sunt mai nesăbuiți în codul cu mize mari, de obicei opusul). - Aceleași metodologii cuprinzătoare utilizate pentru a descoperi defecte de diferite severități ar descoperi și probleme de severitate ridicată (opusul nu este valabil). - Există cerințe mult mai mari pentru ca o eroare aleatorie să se califice ca severitate ridicată (adesea ar fi închisă în spatele unor condiții inaccesibile sau ar atinge funcționalități necritice). - Din statisticile de bază: o rată de eșantionare mai mare se corelează cu o abatere/varianță așteptată mai mică și, prin urmare, o măsurare mai precisă. Să definim un raport de audit ca rezultat al eșantionării calității unei baze de cod. Deducem că numărul real așteptat de maxime este mult mai mic decât minimele, iar abaterea așteptată în jurul acestuia este mult mai mare (datorită eșantionului mai mic). Cu alte cuvinte, numărul de maxime ne spune foarte puțin despre numărul de maxime ratate. Deci, în mod surprinzător, un raport de 1 High, 10 Lows este mai liniștitor decât un raport de 10 Highs, 1 Low toate celelalte fiind egale. Deși, de fapt, marea majoritate a vânzătorilor ar prefera să o arate pe cea din urmă ca un indiciu al calității. Ideea este că o măsură de înaltă frecvență este un instrument mai bun pentru a măsura rezultatele de joasă frecvență. Constructorii Web3, data viitoare când firmele vă flutură numărul lor Crit / High și X miliarde de dolari linie securizată, știți unde să vă concentrați pentru a căuta semnalul adevărat. Auditorii Web3, recunoașteți că nu există o formulă secretă consistentă pentru a găsi toate High-urile fără a căuta și Low-urile - fiecare Low care nu este investigat pe deplin este un potențial High - și acordați cea mai bună atenție fiecărei linii. Clientul tău îți va mulțumi pentru asta. Severitatea scăzută este definită ca greșeli de codificare concrete care nu duc la impacturi de nivel mai ridicat. Nu include formatarea, cele mai bune practici și constatările de umplere.