Por que as descobertas de baixa gravidade dizem mais sobre sua auditoria do que os bugs críticos Muitas empresas de auditoria concentram seu discurso de vendas no número de Highs encontrados como se esse número não fosse apenas ruído sem conexão com o contexto: auditorias anteriores, revisão por pares, níveis de cobertura de teste, complexidade de código, contagem de linhas e muitas outras métricas. É a forma mais baixa de vendas, não diferente de comparar, por exemplo, a qualidade da unidade USB por seu comprimento em milímetros. Para mostrar uma alternativa, primeiro devemos afirmar a exatidão de várias afirmações de apoio: - A probabilidade de injeção acidental de bugs não tem viés para impactos mais altos (os desenvolvedores não são mais imprudentes em códigos de alto risco, geralmente o oposto). - As mesmas metodologias abrangentes usadas para descobrir falhas de várias gravidades também descobririam problemas de alta gravidade (o oposto não é válido). - Existem requisitos muito mais altos para que um bug aleatório se qualifique como de alta gravidade (muitas vezes ele seria bloqueado por condições inacessíveis ou tocaria em funcionalidades não críticas). - Das estatísticas básicas: uma taxa de amostragem mais alta se correlaciona com um menor desvio/variância esperada e, portanto, uma medição mais precisa. Vamos definir um relatório de auditoria como o resultado da amostragem da qualidade de uma base de código. Deduzimos que o número real esperado (sem erros) de máximos é muito menor do que os mínimos, e o desvio esperado em torno dele é muito maior (devido à amostra menor). Em outras palavras, o número de máximas nos diz muito pouco sobre o número de máximas perdidas. Então, surpreendentemente, um relatório de 1 alta, 10 baixas é mais tranquilizador do que um relatório de 10 altas, 1 baixa sendo tudo o mais igual. Embora, de fato, a grande maioria dos vendedores prefira mostrar o último como uma indicação de qualidade. A questão é que uma métrica de alta frequência é uma ferramenta melhor para medir resultados de baixa frequência. Construtores Web3, da próxima vez que as empresas acenarem com suas contagens Crit/High e X bilhões de $ linha segura, você sabe onde se concentrar para procurar o sinal verdadeiro. Auditores da Web3, reconheçam que não existe uma fórmula secreta consistente para encontrar todos os altos sem também procurar os baixos - cada baixa não totalmente investigada é uma alta potencial - e dê a melhor atenção a cada linha. Seu cliente vai agradecer por isso. A baixa gravidade é definida como erros de codificação concretos que não resultam em impactos de nível mais alto. Não inclui formatação, práticas recomendadas e descobertas de preenchimento.

Um crítico no git lançado ontem que pode ser acionado pelo clone git de repositório não confiável. Esse é o vetor dos sonhos para enganar os auditores e roubar suas recompensas / dinheiro de auditoria. Corrija seus sistemas antes de cotar novos clientes! E espere visitantes em sua caixa de entrada nas próximas semanas...

Acontece que você pode ganhar recompensas de 5 figos em concursos sem realmente descobrir nenhum problema, apenas um cérebro semi-funcional necessário. No concurso OP Fault Proofs de março de 2024, os desenvolvedores corrigiram um problema crítico um dia antes de começar, mas não o mesclaram. 🔗 Apenas olhando para o log de commit público, você obtém uma pontuação alta 🔗 🔗 Acabou sendo uma recompensa de $ 16680: É apenas um dos muitos truques para encontrar bugs dentro do escopo sem realmente procurá-los. Sempre tente trabalhar de forma inteligente, não difícil.