Tại sao các phát hiện có mức độ nghiêm trọng thấp nói lên nhiều điều về kiểm tra của bạn hơn là các lỗi nghiêm trọng Nhiều công ty kiểm toán tập trung quảng cáo chiêu hàng của họ vào số lượng Highs được tìm thấy như thể con số này không chỉ là nhiễu mà không cần chèn ngữ cảnh: kiểm toán trước đó, đánh giá ngang hàng, mức độ bao phủ thử nghiệm, độ phức tạp của mã, số dòng và nhiều số liệu khác. Đó là hình thức bán hàng thấp nhất, không khác gì so sánh ví dụ, chất lượng ổ USB theo chiều dài của chúng tính bằng milimét. Để chỉ ra một lựa chọn thay thế, trước tiên chúng ta phải khẳng định tính đúng đắn của một số tuyên bố hỗ trợ: - Xác suất chèn lỗi ngẫu nhiên không thiên về tác động cao hơn (các nhà phát triển không liều lĩnh hơn trong mã có rủi ro cao, thường là ngược lại). - Các phương pháp toàn diện tương tự được sử dụng để phát hiện ra các sai sót của các mức độ nghiêm trọng khác nhau cũng sẽ phát hiện ra các vấn đề nghiêm trọng cao (ngược lại không đúng). - Có các yêu cầu cao hơn nhiều đối với một lỗi ngẫu nhiên để đủ điều kiện là mức độ nghiêm trọng cao (thường nó sẽ được kiểm soát đằng sau các điều kiện không thể truy cập hoặc chạm vào chức năng không quan trọng). - Từ số liệu thống kê cơ bản: tỷ lệ lấy mẫu cao hơn tương quan với độ lệch / phương sai dự kiến thấp hơn và do đó đo lường chính xác hơn. Hãy xác định một báo cáo kiểm toán là kết quả của việc lấy mẫu chất lượng của cơ sở mã. Chúng tôi suy luận rằng số Điểm cao thực dự kiến (không bị bỏ lỡ) thấp hơn nhiều so với Mức thấp và độ lệch dự kiến xung quanh nó cao hơn nhiều (do mẫu nhỏ hơn). Nói cách khác, số lượng Highs cho chúng ta biết rất ít về số lượng High bị bỏ lỡ. Thật đáng ngạc nhiên, báo cáo 1 High, 10 Lows yên tâm hơn so với báo cáo 10 Highs, 1 Lows đều bằng nhau. Mặc dù trên thực tế, đại đa số nhân viên bán hàng muốn thể hiện cái sau như một dấu hiệu của chất lượng. Vấn đề là chỉ số tần suất cao là một công cụ tốt hơn để đo lường kết quả tần suất thấp. Các nhà xây dựng Web3, lần tới khi các công ty vẫy tay cho bạn số lượng Crit/High của họ và đường dây bảo mật X tỷ đô la, bạn biết nên tập trung vào đâu để tìm kiếm tín hiệu thực sự. Các kiểm toán viên Web3, hãy nhận ra rằng không có công thức bí mật nhất quán nào để tìm tất cả các Mức cao mà không cần tìm kiếm Mức thấp - mọi mức thấp không được điều tra đầy đủ đều là Mức cao tiềm năng - và hãy chú ý tốt nhất đến từng dòng. Khách hàng của bạn sẽ cảm ơn bạn vì điều đó. Mức độ nghiêm trọng thấp được định nghĩa là các lỗi mã hóa cụ thể không dẫn đến tác động ở mức độ cao hơn. Không bao gồm định dạng, thực tiễn tốt nhất và phát hiện bổ sung.