Récemment, je vois souvent les projets balancer un lien GitHub + un rapport d'audit en disant « très sécurisé », mais cela me rend en fait plus nerveux… Les débutants qui veulent vérifier la crédibilité, je pense qu'il ne faut pas d'abord se concentrer sur la beauté du code, mais sur « qui peut le modifier » : la mise à jour est-elle multi-signature, combien de clés, quel est le seuil, le signataire est-il dispersé (pas tous des membres de l'équipe), y a-t-il un timelock, au moins pour vous donner un temps de réaction. L'audit ne doit pas se limiter au logo en couverture, il faut feuilleter deux pages pour voir si les problèmes à haut risque ont été corrigés, s'il s'agit de « confirmés » ou « pas d'accord », et si la version de l'audit correspond à celle déployée actuellement. Même chose pour GitHub, l'essentiel est de vérifier s'il y a des traces de revue pour les changements importants, si les commits ne sont pas soudainement un gros paquet… Bien sûr, tout cela ne peut qu'abaisser la probabilité, face à un marché où le dollar index monte ou descend en même temps, je préfère considérer la position comme quelque chose qui peut être « mis à jour à tout moment » en appuyant sur un interrupteur, c'est comme ça pour l'instant.