Por qué los hallazgos de baja gravedad dicen más sobre tu auditoría que los errores críticos Muchas firmas de auditoría centran su discurso de ventas en el número de hallazgos altos, como si este número no fuera más que ruido sin tener en cuenta el contexto: auditorías anteriores, revisión por pares, niveles de cobertura de pruebas, complejidad del código, recuento de líneas y muchas otras métricas. Es la forma más baja de venta, no diferente de comparar, por ejemplo, la calidad de una unidad USB por su longitud en milímetros. Para mostrar una alternativa, primero debemos afirmar la corrección de varias afirmaciones de apoyo: - La probabilidad de inyección accidental de errores no tiene sesgo hacia impactos más altos (los desarrolladores no son más imprudentes en código de alto riesgo, generalmente es lo contrario). - Las mismas metodologías integrales utilizadas para descubrir fallas de diversas severidades también descubrirían problemas de alta severidad (lo contrario no se sostiene). - Hay requisitos mucho más altos para que un error aleatorio califique como de alta severidad (a menudo estaría condicionado a situaciones inalcanzables o tocaría funcionalidades no críticas). - Desde estadísticas básicas: una mayor tasa de muestreo se correlaciona con una menor desviación/varianza esperada y, por lo tanto, una medición más precisa. Definamos un informe de auditoría como el resultado de muestrear la calidad de una base de código. Deducimos que el número verdadero esperado (sin omisiones) de hallazgos altos es mucho menor que el de hallazgos bajos, y la desviación esperada alrededor de él es mucho mayor (debido a un tamaño de muestra más pequeño). En otras palabras, el número de hallazgos altos nos dice muy poco sobre el número de altos omitidos. Así que, sorprendentemente, un informe de 1 alto y 10 bajos es más tranquilizador que un informe de 10 altos y 1 bajo, todo lo demás siendo igual. Aunque, de hecho, la gran mayoría de los vendedores preferirían mostrar lo último como una indicación de calidad. El punto es que una métrica de alta frecuencia es una mejor herramienta para medir resultados de baja frecuencia. Constructores de Web3, la próxima vez que las firmas te muestren sus conteos de críticos/altos y X miles de millones de $ asegurados, sabes dónde enfocarte para buscar la verdadera señal. Auditores de Web3, reconoce que no hay una fórmula secreta consistente para encontrar todos los altos sin también buscar los bajos: cada bajo no investigado a fondo es un alto potencial, y presta la mejor atención a cada línea. Tu cliente te lo agradecerá. La baja gravedad se define como errores de codificación concretos que no resultan en impactos de mayor nivel. No incluye formato, mejores prácticas y hallazgos de relleno.