Récemment, on me demande toujours : comment vraiment juger si GitHub, les rapports d'audit, la mise à jour de multi-signatures sont "fiables ou non". En gros, ne vous attendez pas à tout voir en un coup d'œil, commencez par le plus simple : est-ce que GitHub est maintenu depuis longtemps, les mises à jour sont-elles régulières, y a-t-il des réponses sérieuses aux issues, pas comme ces projets où en une nuit il y a une montagne de commits et l'auteur semble avoir disparu.

Les rapports d'audit ne sont pas non plus une garantie absolue, un rapport ≠ sécurité, concentrez-vous sur s'il concerne la dernière version, s'il y a des conclusions "corrigé/non corrigé", surtout comment ils traitent les vulnérabilités liées aux permissions. Certains projets mentionnent des risques élevés mais ne les corrigent pas, je les blacklist silencieusement.

Je suis encore plus attentif à la mise à jour de multi-signatures : qui peut faire la mise à jour, combien de clés sont nécessaires, y a-t-il un verrou temporel. Si on peut changer le contrat d’un clic à tout moment, peu importe la narration, ça me met un peu mal à l’aise. Récemment, les trucs comme AI Agent, le trading automatique, ça se vend comme des petits pains, mais plus c’est automatisé, plus c’est facile de déléguer l’autorisation, la sécurité doit vraiment être vérifiée en détail… sinon, on peut se faire avoir en un rien de temps.