Чому висновки низької серйозності говорять про ваш аудит більше, ніж критичні помилки Багато аудиторських фірм зосереджують свою комерційну пропозицію на кількості знайдених максимумів, ніби це число не просто шум без включення контексту: попередні аудити, експертна оцінка, рівень покриття тестами, складність коду, кількість рядків та багато інших показників. Це найнижчий показник продажності, який нічим не відрізняється від порівняння, наприклад, якості USB-накопичувачів за їх довжиною в міліметрах. Щоб показати альтернативу, ми спочатку повинні підтвердити правильність кількох підтверджуючих тверджень: - Імовірність випадкового впровадження бага не має ухилу в бік більш високих ударів (розробники не більш безрозсудні в коді з високими ставками, зазвичай навпаки). - Ті ж комплексні методології, що використовуються для виявлення недоліків різного ступеня серйозності, також виявляють проблеми високого ступеня серйозності (протилежне не має). - Існують набагато вищі вимоги до випадкової помилки, щоб кваліфікуватися як висока серйозність (часто вона закривається за недосяжними умовами або торкається некритичної функціональності). - З базової статистики: вища частота дискретизації корелює з нижчим очікуваним відхиленням/дисперсією і, отже, з більш точним вимірюванням. Визначимо аудиторський звіт як результат вибірки якості кодової бази. Зроблено висновок, що очікуване справжнє (без промахів) число максимумів набагато нижче, ніж мінімумів, а очікуване відхилення навколо нього набагато вище (через меншу вибірку). Іншими словами, кількість максимумів говорить нам дуже мало про кількість пропущених максимумів. Тому, як не дивно, звіт 1 High, 10 Lows є більш обнадійливим, ніж звіт 10 Highs, 1 Low за інших рівних умов. Хоча насправді переважна більшість продавців воліла б показувати останнє як показник якості. Справа в тому, що високочастотна метрика є кращим інструментом для вимірювання низькочастотних результатів. Розробники Web3, наступного разу, коли компанії помахають вам своїми показниками Crit/High і захищеною лінією X мільярдів доларів, ви знаєте, на чому зосередитися, щоб шукати справжній сигнал. Аудитори Web3 визнають, що не існує єдиної секретної формули для пошуку всіх максимумів без пошуку мінімумів – кожен не повністю досліджений мінімум є потенційним максимумом – і приділяйте максимальну увагу кожному окремому рядку. Ваш клієнт скаже вам за це спасибі. Низька серйозність визначається як конкретні помилки кодування, які не призводять до впливу на більш високий рівень. Не містить форматування, найкращих практик і знахідок заповнювача.