De ce constatările de severitate scăzută spun mai multe despre audit decât erorile critice Multe firme de audit își concentrează argumentul de vânzare pe numărul de High-uri găsite, ca și cum acest număr nu ar fi doar zgomot fără a se conecta la context: audituri anterioare, peer review, niveluri de acoperire a testelor, complexitatea codului, numărul de linii și mulți alți indicatori. Este cea mai mică formă de vânzare, nu diferită de compararea, de exemplu, a calității unităților USB prin lungimea lor în milimetri. Pentru a arăta o alternativă, trebuie mai întâi să afirmăm corectitudinea mai multor afirmații susținătoare: - Probabilitatea injectării accidentale a erorilor nu are nicio tendință spre un impact mai mare (dezvoltatorii nu sunt mai nesăbuiți în codul cu mize mari, de obicei opusul). - Aceleași metodologii cuprinzătoare utilizate pentru a descoperi defecte de diferite severități ar descoperi și probleme de severitate ridicată (opusul nu este valabil). - Există cerințe mult mai mari pentru ca o eroare aleatorie să se califice ca severitate ridicată (adesea ar fi închisă în spatele unor condiții inaccesibile sau ar atinge funcționalități necritice). - Din statisticile de bază: o rată de eșantionare mai mare se corelează cu o abatere/varianță așteptată mai mică și, prin urmare, o măsurare mai precisă. Să definim un raport de audit ca rezultat al eșantionării calității unei baze de cod. Deducem că numărul real așteptat de maxime este mult mai mic decât minimele, iar abaterea așteptată în jurul acestuia este mult mai mare (datorită eșantionului mai mic). Cu alte cuvinte, numărul de maxime ne spune foarte puțin despre numărul de maxime ratate. Deci, în mod surprinzător, un raport de 1 High, 10 Lows este mai liniștitor decât un raport de 10 Highs, 1 Low toate celelalte fiind egale. Deși, de fapt, marea majoritate a vânzătorilor ar prefera să o arate pe cea din urmă ca un indiciu al calității. Ideea este că o măsură de înaltă frecvență este un instrument mai bun pentru a măsura rezultatele de joasă frecvență. Constructorii Web3, data viitoare când firmele vă flutură numărul lor Crit / High și X miliarde de dolari linie securizată, știți unde să vă concentrați pentru a căuta semnalul adevărat. Auditorii Web3, recunoașteți că nu există o formulă secretă consistentă pentru a găsi toate High-urile fără a căuta și Low-urile - fiecare Low care nu este investigat pe deplin este un potențial High - și acordați cea mai bună atenție fiecărei linii. Clientul tău îți va mulțumi pentru asta. Severitatea scăzută este definită ca greșeli de codificare concrete care nu duc la impacturi de nivel mai ridicat. Nu include formatarea, cele mai bune practici și constatările de umplere.

Un critic în git lansat ieri care poate fi declanșat de clona git a unui depozit nesigur. Acesta este vectorul de vis pentru auditorii pwn și pentru a le fura recompensele / banii de audit. Corectați-vă sistemele înainte de a cita clienți noi! Și așteptați-vă la vizitatori în căsuța de e-mail în săptămânile următoare...

Se pare că poți obține recompense de 5 smochine în concursuri fără a descoperi de fapt nicio problemă, doar un creier semi-funcțional necesar. În concursul OP Fault Proofs din martie 2024, dezvoltatorii au rezolvat o problemă critică cu o zi înainte de a începe, dar nu au fuzionat-o. 🔗 Doar uitându-vă la jurnalul public de commit, obțineți un scor ridicat 🔗 🔗 A ajuns să fie o recompensă de $16680: Este doar unul dintre multele trucuri pentru a găsi bug-uri în domeniu fără a le căuta de fapt. Încercați întotdeauna să lucrați inteligent, nu din greu.