مؤخرًا، جميع المحافظ الصلبة نفدت من المخزون، وروابط الاصطياد تنتشر في كل مكان، فقط أدركت أن وعي الناس بالأمان قد ارتفع… لكن بصراحة، إذا كان المبتدئ يريد أن يحكم على مشروع “هل هو موثوق به أم لا”، أعتقد أنه لا ينبغي التركيز على خط الكيانات، بل النظر إلى ثلاث أشياء: GitHub + تقرير التدقيق + الترقية المتعددة للتوقيع، فهي كافية لإضاعة نصف يوم.

أنا مجرد مراقب عابر على الشبكة، لا أتحيز لأي جهة. فيما يخص GitHub، أركز على: هل هناك شخص يعمل بشكل مستمر (ليس مجرد تقديم العديد من الالتزامات في ليلة واحدة)، هل هناك مراجعة من قبل شخص ما على التغييرات المهمة، هل يرد الأشخاص بجدية على المشاكل في قسم القضايا. أما تقارير التدقيق، فلا تكتفِ فقط بالمظهر الخارجي “تمت الموافقة”، بل فحص ما إذا كانت هناك مخاطر عالية، وهل تم الإصلاح في النهاية، وهل يجرؤ فريق التدقيق على كتابة “نحن لا نضمن عدم وجود ثغرات”. وبالنسبة للترقية المتعددة للتوقيع، من الأفضل ألا تكون مجرد قرار شخص واحد بالترقية، من هو الموقع المصدق، ما هو عدد المفاتيح المطلوبة، هل هناك تأخير… هذه الأمور أكثر أهمية من الشعارات.

على أي حال، الآن من الأفضل عدم النقر على الروابط إن أمكن، ويجب أن تظل المحافظ مقسمة إلى طبقات، هكذا على الأقل.