عند تقييم مشروع "هل هو موثوق أم لا"، عادة لا أبدأ بمشاهدة عرض الشرائح، بل أتحقق أولاً من GitHub والتدقيق. ليس المهم أن تنظر إلى عدد النجوم على GitHub (فهذا يمكن تزييفه أيضًا)، بل أن تركز على: هل المستودع الرئيسي يتلقى مراجعات مستمرة، هل هناك من يناقش بجدية في قسم القضايا، هل تم شرح أسباب التعديلات في طلبات الدمج المتعلقة بالترقية. كما أن تقرير التدقيق لا ينبغي أن يخدعك بشعارات الشعار، بل أن تركز على ما إذا كانت المشاكل المكتشفة قد تم توثيق إصلاحها بشكل واضح، خاصة فيما يتعلق بـ"الصلاحيات/الترقية".

الترقية عبر التوقيع المتعدد أكثر أهمية: مفاتيح كثيرة، من يحملها، هل هناك توقيت تأخير لتفعيلها، هل يمكن الإيقاف بشكل عاجل ولكن لا يمكن تعديل المنطق بشكل عشوائي. بصراحة، كلما قل الأشخاص القادرين على تعديل الكود وكون العملية أكثر شفافية، كان النوم أكثر هدوءًا. مؤخرًا، هناك ضجة كبيرة حول العملات الخصوصية/الخلط، لكن الأمر نفسه ينطبق: الأشياء غير الواضحة الحدود، في النهاية تعتمد على الصلاحيات والعمليات كضمانات.

سأقوم الآن بتنظيف صلاحيات بعض العقود القديمة، حتى لا أجد نفسي في حلم أثناء ترقية ما يوماً ما.