Por qué los hallazgos de baja gravedad dicen más sobre su auditoría que los errores críticos Muchas empresas de auditoría centran su discurso de venta en el número de máximos encontrados, como si este número no fuera sólo ruido sin introducir el contexto: auditorías anteriores, revisión por pares, niveles de cobertura de pruebas, complejidad del código, recuento de líneas y muchas otras métricas. Es la forma más baja de venta, no diferente de comparar, por ejemplo, la calidad de las unidades USB por su longitud en milímetros. Para mostrar una alternativa, primero debemos afirmar la exactitud de varias afirmaciones de apoyo: - La probabilidad de inyección accidental de errores no tiene sesgo hacia mayores impactos (los desarrolladores no son más imprudentes en el código de alto riesgo, generalmente lo contrario). - Las mismas metodologías integrales que se utilizan para descubrir fallas de varias gravedades también descubrirían problemas de alta gravedad (lo contrario no se sostiene). - Hay requisitos mucho más altos para que un error aleatorio califique como de alta gravedad (a menudo estaría bloqueado detrás de condiciones inalcanzables o tocaría funcionalidades no críticas). - De estadísticas básicas: una mayor frecuencia de muestreo se correlaciona con una menor desviación/varianza esperada y, por lo tanto, una medición más precisa. Definamos un informe de auditoría como el resultado de muestrear la calidad de una base de código. Deducimos que el número verdadero esperado (sin errores) de máximos es mucho menor que el de mínimos, y la desviación esperada alrededor de él es mucho mayor (debido a una muestra más pequeña). En otras palabras, el número de máximos nos dice muy poco sobre el número de máximos perdidos. Así que, sorprendentemente, un informe de 1 máximo, 10 mínimos es más tranquilizador que un informe de 10 máximos, 1 mínimo, en igualdad de condiciones. Aunque, de hecho, la gran mayoría de los vendedores preferirían mostrar este último como una indicación de calidad. El punto es que una métrica de alta frecuencia es una mejor herramienta para medir los resultados de baja frecuencia. Constructores de Web3, la próxima vez que las empresas les agiten sus recuentos de Crit/High y X miles de millones de $ de línea asegurada, sabrán dónde concentrarse para buscar la verdadera señal. Los auditores de Web3 reconocen que no existe una fórmula secreta coherente para encontrar todos los máximos sin buscar también los mínimos -cada mínimo que no se investiga a fondo es un máximo potencial- y prestan la mejor atención posible a cada línea. Tu cliente te lo agradecerá. La baja gravedad se define como errores concretos de codificación que no dan lugar a impactos de mayor nivel. No incluye el formato, las prácticas recomendadas ni los hallazgos de relleno.