Warum niedrigschwellige Befunde mehr über Ihr Audit aussagen als kritische Fehler Viele Prüfungsfirmen konzentrieren sich in ihrem Verkaufsargument auf die Anzahl der gefundenen Hochrisiken, als ob diese Zahl ohne Kontext wie frühere Audits, Peer-Reviews, Testabdeckungsgrade, Codekomplexität, Zeilenanzahl und viele andere Metriken nicht nur Lärm wäre. Es ist die niedrigste Form des Verkaufs, nicht anders als den USB-Stick-Qualität beispielsweise anhand ihrer Länge in Millimetern zu vergleichen. Um eine Alternative aufzuzeigen, müssen wir zunächst die Richtigkeit mehrerer unterstützender Behauptungen bestätigen: - Die Wahrscheinlichkeit einer versehentlichen Fehlerinjektion hat keine Tendenz zu höheren Auswirkungen (Entwickler sind in hochriskantem Code nicht nachlässiger, meist das Gegenteil). - Die gleichen umfassenden Methoden, die verwendet werden, um Mängel unterschiedlicher Schwere zu entdecken, würden auch hochgradige Probleme entdecken (das Gegenteil gilt nicht). - Es gibt viel höhere Anforderungen, damit ein zufälliger Fehler als hochgradig qualifiziert wird (oft wäre er hinter unerreichbaren Bedingungen oder berührt nicht-kritische Funktionalitäten gesperrt). - Aus der grundlegenden Statistik: Eine höhere Stichprobenrate korreliert mit einer niedrigeren erwarteten Abweichung/Varianz und somit einer genaueren Messung. Lassen Sie uns einen Prüfungsbericht als das Ergebnis der Stichprobenentnahme der Qualität eines Codes definieren. Wir schließen daraus, dass die erwartete wahre (keine Auslassungen) Anzahl der Hochrisiken viel niedriger ist als die der Niedrigrisiken, und die erwartete Abweichung darum viel höher ist (aufgrund der kleineren Stichprobe). Mit anderen Worten, die Anzahl der Hochrisiken sagt uns sehr wenig über die Anzahl der verpassten Hochrisiken aus. Überraschenderweise ist ein Bericht mit 1 Hochrisiko und 10 Niedrigrisiken beruhigender als ein Bericht mit 10 Hochrisiken und 1 Niedrigrisiko, alles andere gleich. Obwohl in der Tat die überwiegende Mehrheit der Verkäufer es vorziehen würde, letzteres als Indikator für Qualität zu zeigen. Der Punkt ist, dass eine hochfrequente Metrik ein besseres Werkzeug ist, um niedrigfrequente Ergebnisse zu messen. Web3-Entwickler, das nächste Mal, wenn Firmen Ihnen ihre Krit/Hohe Zählungen und X Milliarden $ gesicherte Linie vorzeigen, wissen Sie, wo Sie sich konzentrieren müssen, um nach echtem Signal zu suchen. Web3-Prüfer, erkennen Sie, dass es keine konsistente geheime Formel gibt, um alle Hochrisiken zu finden, ohne auch nach den Niedrigrisiken zu suchen - jedes Niedrigrisiko, das nicht vollständig untersucht wird, ist ein potenzielles Hochrisiko - und schenken Sie jeder einzelnen Zeile Ihre beste Aufmerksamkeit. Ihr Kunde wird Ihnen dafür danken. Niedrigschwellig wird definiert als konkrete Programmierfehler, die nicht zu höheren Auswirkungen führen. Beinhaltet keine Formatierung, bewährte Praktiken und Füllfunde.