Почему результаты с низкой степенью серьезности говорят о аудите больше, чем критические ошибки Многие аудиторские фирмы сосредотачивают свое коммерческое предложение на количестве обнаруженных максимумов, как будто это число не просто шум без учета контекста: предыдущие аудиты, экспертная оценка, уровни покрытия тестами, сложность кода, количество строк и многие другие метрики. Это самая низкая форма мастерства продаж, ничем не отличающаяся от сравнения, например, качества USB-накопителей по их длине в миллиметрах. Чтобы показать альтернативу, мы сначала должны подтвердить правильность нескольких подтверждающих утверждений: - Вероятность случайного внедрения ошибки не имеет смещения в сторону более высоких последствий (разработчики не более безрассудны в коде с высокими ставками, обычно наоборот). - Те же всеобъемлющие методологии, которые используются для обнаружения недостатков различной степени серьезности, также обнаружат проблемы высокой степени серьезности (обратное не работает). - Существуют гораздо более высокие требования к тому, чтобы случайная ошибка была квалифицирована как высокая степень серьезности (часто она может быть закрыта за недостижимыми условиями или затрагивать некритичную функциональность). - Из базовой статистики: более высокая частота выборки коррелирует с меньшим ожидаемым отклонением/дисперсией и, следовательно, с более точным измерением. Давайте определим отчет об аудите как результат выборки качества кодовой базы. Мы делаем вывод, что ожидаемое истинное (без промахов) количество Максимумов намного ниже Минимумов, а ожидаемое отклонение вокруг него значительно выше (из-за меньшей выборки). Другими словами, количество максимумов очень мало говорит нам о количестве пропущенных максимумов. Так что удивительно, но отчет «1 максимум, 10 минимумов» более обнадеживает, чем отчет «10 максимумов, 1 минимум» при прочих равных условиях. Хотя на самом деле подавляющее большинство продавцов предпочли бы показать последнее как показатель качества. Дело в том, что высокочастотная метрика является лучшим инструментом для измерения низкочастотных результатов. Создатели Web3, в следующий раз, когда фирмы помашут вам своими счетами Crit/High и X миллиардов долларов обеспеченной линии, вы знаете, на чем сосредоточиться, чтобы найти истинный сигнал. Аудиторы Web3, признают, что не существует последовательной секретной формулы для поиска всех максимумов без поиска минимумов - каждый не полностью исследованный минимум является потенциальным максимумом - и уделяйте максимальное внимание каждой отдельной линии. Ваш клиент будет вам за это благодарен. Низкая серьезность определяется как конкретные ошибки в кодировании, которые не приводят к последствиям более высокого уровня. Не включает форматирование, рекомендации и выводы по заполнителям.