Últimamente todos hablan sobre la actualización/mantenimiento de cierta cadena pública principal, adivinando si toda la ecología debe migrar, en realidad no hay que apresurarse a tomar partido, primero hay que ver si la "credibilidad" del proyecto tiene una base sólida. Es suficiente para un novato echar un vistazo: no solo mirar las estrellas en GitHub, sino revisar si los últimos commits son continuos, si solo una o dos personas están trabajando en ello; no tomar los informes de auditoría como un amuleto, sino centrarse en si los problemas han sido corregidos, si las correcciones están completas, no simplemente escribir "riesgo aceptado" y pasar por alto; las firmas múltiples en las actualizaciones son aún más importantes, cuántas firmas, quién firma, si se puede cambiar de firmantes, si hay bloqueo de tiempo... esto es lo que marca la diferencia entre poder dormir en la noche sin preocuparse de que la actualización pueda dejarte en ceros. Es como compartir un piso: por muy bonito que sea el contrato (auditoría), si las llaves (firma múltiple) están en manos de una sola persona, ¿puedes dormir tranquilo? En cualquier caso, para mí, en la gestión de la sostenibilidad, esto es lo que importa: la disciplina es más importante que la fe, ser duro con las palabras no es tan importante como ser frío con las manos.