Miksi matalan vakavuuden havainnot kertovat enemmän tarkastuksestasi kuin kriittiset virheet Monet tilintarkastusyritykset keskittyvät myyntipuheessaan havaittujen huippujen määrään, ikään kuin tämä luku ei olisi pelkkää melua ilman kontekstia: aiemmat auditoinnit, vertaisarviointi, testien kattavuustasot, koodin monimutkaisuus, rivimäärä ja monet muut mittarit. Se on alhaisin myyntitaito, joka ei eroa esimerkiksi USB-aseman laadun vertaamisesta niiden pituuden mukaan millimetreinä. Vaihtoehdon osoittamiseksi meidän on ensin vahvistettava useiden sitä tukevien väitteiden oikeellisuus: - Vahingossa tapahtuvan bugilisäyksen todennäköisyys ei ole taipuvainen suurempiin vaikutuksiin (kehittäjät eivät ole holtittomampia korkean panoksen koodissa, yleensä päinvastoin). - Samat kattavat menetelmät, joita käytetään eri vakavuusasteisten puutteiden löytämiseen, löytäisivät myös erittäin vakavia ongelmia (päinvastainen ei pidä paikkaansa). - Satunnainen vika voidaan luokitella vakavaksi (usein se on suljettu saavuttamattomien ehtojen taakse tai koskettaa ei-kriittisiä toimintoja). - Perustilastoista: korkeampi näytteenottotaajuus korreloi pienemmällä odotetulla poikkeamalla/varianssilla ja siten tarkemmalla mittauksella. Määritellään auditointiraportti koodikannan laadun näytteenoton tuloksena. Päättelemme, että odotettu todellinen (ei ohiheittoja) huippujen määrä on paljon pienempi kuin matalat ja odotettu poikkeama sen ympärillä on paljon suurempi (pienemmän otoksen vuoksi). Toisin sanoen huippujen määrä kertoo meille hyvin vähän menetettyjen huippujen määrästä. Joten yllättäen 1 High, 10 Lows -raportti on rauhoittavampi kuin 10 Highs, 1 Low -raportti, jos kaikki muu on sama. Vaikka itse asiassa suurin osa myyjistä haluaisi näyttää jälkimmäisen laadun osoituksena. Pointti on, että korkean taajuuden mittari on parempi työkalu matalataajuisten tulosten mittaamiseen. Web3-rakentajat, seuraavan kerran, kun yritykset heiluttavat sinulle Crit/High-lukujaan ja X miljardin dollarin suojattua linjaa, tiedät mihin keskittyä etsimään todellista signaalia. Web3-tarkastajat, tunnistakaa, että ei ole olemassa johdonmukaista salaista kaavaa kaikkien huippujen löytämiseksi etsimättä myös alamäkiä - jokainen matala, jota ei ole täysin tutkittu, on mahdollinen huippu - ja kiinnitä parhaan huomionne jokaiseen riviin. Asiakkaasi kiittää sinua siitä. Alhainen vakavuus määritellään konkreettisiksi koodausvirheiksi, jotka eivät johda korkeamman tason vaikutuksiin. Ei sisällä muotoilua, parhaita käytäntöjä ja täytehavaintoja.

Eilen julkaistu kriittinen git, jonka voi laukaista epäluotettavan repon git-klooni. Se on unelmavektori tilintarkastajien pwnille ja heidän palkkioidensa / tilintarkastusrahojensa varastamiseen. Korjaa järjestelmäsi ennen kuin tarjoat uusia asiakkaita! Ja odota vierailijoita postilaatikkoosi tulevina viikkoina...

Osoittautuu, että voit saada 5 viikunan palkkioita kilpailuissa huomaamatta mitään ongelmia, tarvitset vain puolitoiminnalliset aivot. Maaliskuun 2024 OP Fault Proofs -kilpailussa kehittäjät korjasivat kriittisen ongelman päivää ennen sen alkamista, mutta eivät yhdistäneet sitä. 🔗 Katsomalla vain julkista toimituslokia saat korkeat pisteet 🔗 🔗 Päätyi 16680 dollarin palkkioon: Se on vain yksi monista temppuista löytää kiikarivirheitä etsimättä niitä. Yritä aina työskennellä fiksusti, älä kovasti.