أنا الآن أقيّم ما إذا كان المشروع "يمكن الوثوق به" بشكل أساسي من خلال معرفة ما إذا كان قد أوضح صلاحيات الترقية بشكل واضح… ليس لأن وجود تدقيق يجعل الأمر مستقرًا، ولكن على الأقل لا يختبئ أو يخفي شيئًا. إذا كان المبتدئ يريد أن يرى تقرير GitHub/التدقيق، أعتقد أن التركيز على نقطتين يكفي: الأولى هل التحديثات الأخيرة طبيعية (لا تقول أنك نشط جدًا وأنت لم تتغير منذ سنة)، والثانية هل تم ذكر سجل إصلاح واضح للمخاطر العالية التي تم ذكرها في التدقيق، وإلا فسيكون الأمر "تم الاطلاع عليه لكن لم يتم التغيير".

بالإضافة إلى التوقيع المتعدد للترقية، لا تكتفِ بالنظر إلى عدد الأشخاص الموقعين، بصراحة يجب أن تنظر إلى من يمكنه تغيير المنطق، هل يوجد توقيت زمني، هل هناك مفتاح طوارئ أو عملية في حال وقوع مشكلة. مؤخرًا، جميع محافظ الأجهزة نفدت، وروابط الصيد كثيرة جدًا… الجميع أصبح أكثر وعيًا بالأمان، لكن الفخ الذي يتمثل في "السماح بنقل الصلاحيات بنقرة واحدة" على السلسلة، ليس من الممكن تجنبه فقط بالحذر من الروابط. ابحث ببطء وتحقق جيدًا، على الأقل أنا أفضّل أن أفوت الأمر.