Récemment, j'ai encore vu quelqu'un demander « GitHub open source + audit = est-ce sûr ? ». En gros, ce ne sont que des points bonus, pas un talisman. Les débutants veulent vérifier la crédibilité, je pense qu'il ne faut pas se concentrer uniquement sur les étoiles et la popularité sur Twitter, mais plutôt vérifier si le projet a toujours été maintenu en regardant l'historique des commits, si les changements importants sont expliqués, si des vulnérabilités ont été signalées dans les issues et traitées sérieusement ; ne pas se contenter de regarder le rapport d'audit avec le simple « Passé », mais surtout vérifier si les risques élevés ont été corrigés, s'il y a eu une double relecture, et comment la correction a été validée. Quant à la mise à niveau de la multi-signature, dire « gouvernance décentralisée » en surface, c'est joli, mais les détails sont cruciaux : les permissions sont-elles minimisées, qui peut faire une pause d'urgence, les signataires sont-ils une même équipe avec des identités différentes, ces détails sont les vrais pièges. Récemment, avec la montée des réglementations et des taxes, tout le monde devient très sensible aux flux d'entrée et de sortie, plus on s'inquiète, plus on se laisse facilement rassurer par les mots « auditée »… De toute façon, j'ai toujours mes habitudes : diversifier, prendre mon temps, ne pas croire aux histoires parfaites. Je vais retourner bosser.