مؤخراً عند مراجعة تحديثات المشاريع، اكتشفت أن الكثير من المبتدئين (بما في ذلك أنا سابقاً) عندما يسمعون "تم التدقيق" و"مفتوح المصدر على GitHub" يعتقدون أن الأمر آمن، لكن في الحقيقة يجب أن نفصل الأمور. على GitHub، سأركز أولاً على ثلاثة أشياء: هل آخر عملية تقديم ذات معنى قام بها شخص حقيقي، هل التعديلات على العقود الرئيسية لها مناقشات/طلبات سحب (PR) مقابلة، وهل العلامة الخاصة بالإصدار والنشر والنشر على السلسلة تتطابق… وإلا فإن المصدر المفتوح قد يكون مجرد "عرض فقط".

كما أن تقرير التدقيق لا ينبغي أن يقتصر على شعار الشعار، عند مراجعة صفحة الاستنتاج: ما هي العقود التي يغطيها النطاق، هل هناك ملاحظات حول "تحديثات الوكيل غير المدققة/صلاحيات التوقيع المتعدد"، هل المشاكل المتبقية "تم إصلاحها" أم "تم قبول المخاطر". التحديثات على التوقيع المتعدد أكثر وضوحاً: كم من المفاتيح، من هم، هل هناك توقيت قفل (timelock) وإيقاف طارئ، والصلاحيات التي يمكنها تعديل المنطق مباشرة أعتبرها عالية المخاطر.

مؤخراً، عندما يتحدث الجميع عن توقعات خفض الفائدة، مؤشر الدولار، والأصول ذات المخاطر التي ترتفع وتنخفض معاً… في مثل هذه الحالات من التوتر العاطفي، أجد نفسي أكثر رغبة في فهم من يمكنه تعديل الكود. في المرة القادمة، أعتزم رسم مخطط بسيط لحقوق التحديث/التوقيع المتعدد الشائعة للمقارنة، فما هو العنصر الذي تنظر إليه عادة أولاً لتقييم المصداقية؟