Warum niedrigschwellige Befunde mehr über Ihr Audit aussagen als kritische Fehler Viele Prüfungsfirmen konzentrieren sich in ihrem Verkaufsargument auf die Anzahl der gefundenen Hochrisiken, als ob diese Zahl ohne Kontext wie frühere Audits, Peer-Reviews, Testabdeckungsgrade, Codekomplexität, Zeilenanzahl und viele andere Metriken nicht nur Lärm wäre. Es ist die niedrigste Form des Verkaufs, nicht anders als den USB-Stick-Qualität beispielsweise anhand ihrer Länge in Millimetern zu vergleichen. Um eine Alternative aufzuzeigen, müssen wir zunächst die Richtigkeit mehrerer unterstützender Behauptungen bestätigen: - Die Wahrscheinlichkeit einer versehentlichen Fehlerinjektion hat keine Tendenz zu höheren Auswirkungen (Entwickler sind in hochriskantem Code nicht nachlässiger, meist das Gegenteil). - Die gleichen umfassenden Methoden, die verwendet werden, um Mängel unterschiedlicher Schwere zu entdecken, würden auch hochgradige Probleme entdecken (das Gegenteil gilt nicht). - Es gibt viel höhere Anforderungen, damit ein zufälliger Fehler als hochgradig qualifiziert wird (oft wäre er hinter unerreichbaren Bedingungen oder berührt nicht-kritische Funktionalitäten gesperrt). - Aus der grundlegenden Statistik: Eine höhere Stichprobenrate korreliert mit einer niedrigeren erwarteten Abweichung/Varianz und somit einer genaueren Messung. Lassen Sie uns einen Prüfungsbericht als das Ergebnis der Stichprobenentnahme der Qualität eines Codes definieren. Wir schließen daraus, dass die erwartete wahre (keine Auslassungen) Anzahl der Hochrisiken viel niedriger ist als die der Niedrigrisiken, und die erwartete Abweichung darum viel höher ist (aufgrund der kleineren Stichprobe). Mit anderen Worten, die Anzahl der Hochrisiken sagt uns sehr wenig über die Anzahl der verpassten Hochrisiken aus. Überraschenderweise ist ein Bericht mit 1 Hochrisiko und 10 Niedrigrisiken beruhigender als ein Bericht mit 10 Hochrisiken und 1 Niedrigrisiko, alles andere gleich. Obwohl in der Tat die überwiegende Mehrheit der Verkäufer es vorziehen würde, letzteres als Indikator für Qualität zu zeigen. Der Punkt ist, dass eine hochfrequente Metrik ein besseres Werkzeug ist, um niedrigfrequente Ergebnisse zu messen. Web3-Entwickler, das nächste Mal, wenn Firmen Ihnen ihre Krit/Hohe Zählungen und X Milliarden $ gesicherte Linie vorzeigen, wissen Sie, wo Sie sich konzentrieren müssen, um nach echtem Signal zu suchen. Web3-Prüfer, erkennen Sie, dass es keine konsistente geheime Formel gibt, um alle Hochrisiken zu finden, ohne auch nach den Niedrigrisiken zu suchen - jedes Niedrigrisiko, das nicht vollständig untersucht wird, ist ein potenzielles Hochrisiko - und schenken Sie jeder einzelnen Zeile Ihre beste Aufmerksamkeit. Ihr Kunde wird Ihnen dafür danken. Niedrigschwellig wird definiert als konkrete Programmierfehler, die nicht zu höheren Auswirkungen führen. Beinhaltet keine Formatierung, bewährte Praktiken und Füllfunde.

Ein kritisches Problem in Git wurde gestern veröffentlicht, das durch das Klonen eines nicht vertrauenswürdigen Repos ausgelöst werden kann. Das ist der Traumvektor, um Auditoren zu übernehmen und ihre Prämien / Auditgelder zu stehlen. Patchen Sie Ihre Systeme, bevor Sie neue Kunden anfragen! Und erwarten Sie in den kommenden Wochen Besucher in Ihrem Posteingang...

Es stellt sich heraus, dass man in Wettbewerben 5-stellige Prämien erzielen kann, ohne tatsächlich irgendwelche Probleme zu entdecken, man braucht nur ein halbwegs funktionierendes Gehirn. Im OP Fault Proofs Wettbewerb im März 2024 haben die Entwickler ein kritisches Problem einen Tag bevor er begann behoben, aber nicht zusammengeführt. 🔗 Wenn man sich nur das öffentliche Commit-Protokoll ansieht, erzielt man eine hohe 🔗 🔗 Am Ende war es eine Prämie von 16.680 $: Es ist nur einer von vielen Tricks, um im Geltungsbereich liegende Bugs zu finden, ohne tatsächlich nach ihnen zu suchen. Versuche immer, smart zu arbeiten, nicht hart.