مؤخرًا عند النظر في مشروع "هل هو موثوق به أم لا" ، بدأت أولاً في تصفح GitHub وتقارير التدقيق، ليس لأظهر أنني أُدرك كل شيء... بل لأرى هل قاموا بكشف الهيكل بشكل واضح أمامك. على الأقل يجب أن يكون هناك التزام مستمر في GitHub، ورد على المشكلات، وتوثيق واضح لتاريخ التحديثات؛ لا تكتفي فقط بمراجعة غلاف تقرير التدقيق ومع من وقع، بل تريد أن ترى كيف تم إصلاح المخاطر العالية، وهل تم إجراء مراجعة ثانية، وهل تلك "المخاطر المعروفة" مجرد كلمة مررنا عليها مرور الكرام.

هناك شيء آخر أُعيره اهتمامًا كبيرًا: التوقيع متعدد التواقيع عند التحديثات. من هم الموقعون قد لا أكون على دراية بهم، لكن هل الحد الأدنى من التواقيع موجود، هل هناك قفل زمني، ومن يملك صلاحية الإيقاف الطارئ، هل يمكن أن تكون هذه المعلومات الأساسية شفافة. مؤخرًا، عندما يتم تنفيذ تحويلات كبيرة على السلسلة، أو تحريك محافظ التبادل بين الساخن والبارد، يُفسر ذلك على أنه "مال ذكي"، وبصراحة، أجد هذا الإفراط في التخيل مزعجًا... أفضل أن أخصص عشر دقائق إضافية لفحص هيكل الصلاحيات، على الأقل أكون على دراية. على أي حال، إذا رأيت "سيتم التحديث قريبًا" ولكن التفاصيل غير واضحة، سأبتعد عن المشروع أولاً.