Por qué los hallazgos de baja gravedad dicen más sobre su auditoría que los errores críticos Muchas firmas de auditoría centran su argumento de venta en el número de máximos encontrados como si este número no fuera solo ruido sin conectar el contexto: auditorías previas, revisión por pares, niveles de cobertura de pruebas, complejidad del código, recuento de líneas y muchas otras métricas. Es la forma más baja de venta, no diferente de comparar, por ejemplo, la calidad de la unidad USB por su longitud en milímetros. Para mostrar una alternativa, primero debemos afirmar la corrección de varias afirmaciones de apoyo: - La probabilidad de inyección accidental de errores no tiene sesgo hacia impactos más altos (los desarrolladores no son más imprudentes en el código de alto riesgo, generalmente lo contrario). - Las mismas metodologías integrales utilizadas para descubrir fallas de varias gravedades también descubrirían problemas de alta gravedad (lo contrario no se cumple). - Hay requisitos mucho más altos para que un error aleatorio califique como de alta gravedad (a menudo estaría cerrado detrás de condiciones inalcanzables o tocaría una funcionalidad no crítica). - A partir de estadísticas básicas: una mayor frecuencia de muestreo se correlaciona con una menor desviación/varianza esperada y, por lo tanto, una medición más precisa. Definamos un informe de auditoría como el resultado del muestreo de la calidad de una base de código. Deducimos que el número esperado de máximos verdaderos (sin fallos) es mucho menor que el de mínimos, y la desviación esperada a su alrededor es mucho mayor (debido a una muestra más pequeña). En otras palabras, el número de máximos nos dice muy poco sobre el número de máximos perdidos. Entonces, sorprendentemente, un informe de 1 alto, 10 mínimos es más tranquilizador que un informe de 10 máximos, 1 mínimo en igualdad de condiciones. Aunque, de hecho, la gran mayoría de los vendedores preferirían mostrar esto último como una indicación de calidad. El punto es que una métrica de alta frecuencia es una mejor herramienta para medir resultados de baja frecuencia. Constructores de Web3, la próxima vez que las empresas les hagan señas sus recuentos Crit/High y X miles de millones de dólares asegurados, ya saben dónde enfocarse para buscar una señal verdadera. Los auditores de Web3, reconocen que no existe una fórmula secreta consistente para encontrar todos los Altos sin buscar también los Bajos (cada Mínimo que no se investiga completamente es un Alto potencial) y presten su mejor atención a cada línea. Tu cliente te lo agradecerá. La gravedad baja se define como errores de codificación concretos que no resultan en impactos de mayor nivel. No incluye formato, prácticas recomendadas ni hallazgos de relleno.