عند تصفح وثائق البروتوكول أثناء الذهاب للعمل، اكتشفت أن الكثيرين يسألون "هل نشاط GitHub = أمان؟" أنا الآن أميل إلى النظر إليها من جانب آخر: هل الالتزامات مستمرة، وهل هي مجرد روبوتات تعدل ملف القراءة (readme)؛ هل المنطق الرئيسي لديه اختبارات، هل هناك أشخاص جادون يطرحون أخطاء في التذاكر (issue)، كيف يرد المطورون على ذلك… هذه الأمور أكثر موثوقية من مجرد عدد النجوم.

تقرير التدقيق لا ينبغي اعتباره بطاقة إعفاء من العقوبة، عادة أبدأ بقراءة الخلاصة في "تم الإصلاح/لم يتم الإصلاح/تم قبول المخاطر"، ثم أنظر إلى النطاق: هل تم تدقيق عقود معينة، هل هو فقط إصدار معين، هل لا يزال صالحًا بعد التحديث. الأكثر سهولة في التغافل عنه هو التحديثات على التوقيعات المتعددة: من يمكنه اتخاذ القرار، ما هو مستوى الصعوبة في الحصول على المفاتيح، هل هناك قفل زمني (على الأقل يمنحك وقتًا للرد). بصراحة، القدرة على التحديث تعني أن خطر "البشر" لا يزال قائمًا دائمًا.

عندما تظهر أخبار تشديد أو تخفيف الامتثال مؤخرًا، يتغير توقعات الدخول والخروج من السوق بشكل كبير… في هذه الحالة، أكون أكثر اهتمامًا بما إذا كانت أعضاء التوقيع المتعدد موزعين بشكل جيد، وهل هناك سجل تغييرات شفاف، وإلا فحتى لو كانت السلسلة جميلة على الإنترنت، فإن التوترات خارج السلسلة ستجعل الجميع يتجمع بسرعة، وهذا ليس جيدًا. على أي حال، أنا أفضّل أن أبطئ قليلاً، وأستبدل الثقة في شيء يمكن فهمه بمزيد من الاطمئنان.