مؤخرًا عند النظر في المشاريع، أبدأ بالتحقق من GitHub والتدقيق، ليس لأظهر بمظهر الخبير… بل لأبحث عن إشارات “مصداقية”. GitHub ليس مجرد النظر إلى عدد النجوم، بصراحة، النظر إلى ما إذا كانت التحديثات مستمرة، وإذا كان نفس الفريق يعمل على المشروع لفترة طويلة، وإذا كانت التغييرات المهمة مفسرة بوضوح؛ ذلك النوع من المشاريع التي تتوقف لفترة ثم فجأة تقوم بتحديث كبير وتغير الصلاحيات بشكل عشوائي، سأقوم أولاً بتقليل حيازتي.

كما أن تقارير التدقيق لا ينبغي أن تُقدس، الأهم هو أن ترى هل أظهرت النقاط عالية المخاطر، وهل قام الفريق بالتعديلات الحقيقية، وهل بعد التعديلات تم إجراء مراجعة ثانية أو نشر مقارنة علنية. وهناك أيضًا الترقية إلى التوقيع المتعدد: من هو الموقع، قد لا يفهم الجميع، لكن الحد الأدنى هو عدد التواقيع، هل هناك تأخير، هل يمكن الإيقاف الطارئ، على الأقل يمكن من خلالها الحكم على “هل ستتغير القواعد مباشرة إذا حدث خطأ”.

مؤخرًا، الانتقادات التي وُجهت لنظام الرهن أو المشاركة الآمنة التي تعتبر “نسخة مكررة” أستطيع فهمها جيدًا… العوائد تتراكم وتبدو مغرية، لكن الإشارة التي أركز عليها أكثر هي: هل يتم تكديس المخاطر أيضًا بشكل متكرر، وفي النهاية لا أحد يوضح من يتحمل المسؤولية. على أي حال، أنا أحتفظ بمخزون بسيط وأراقب ببطء، أن أتمكن من النوم بسلام هو الأفضل من أي شيء آخر.