Setiap kali saya melihat proyek mengirimkan tautan GitHub + satu laporan audit, tangan saya agak gatal ingin klik dan lihat-lihat… Secara psikologis mungkin saya ingin mencari semacam “orang lain juga sudah lihat, jadi saya bisa tenang” perasaan, singkatnya adalah meminjam otoritas untuk memperkuat keberanian sendiri.

Tapi jika pemula benar-benar ingin melihat kepercayaan, saya rasa jangan dulu fokus pada kedalaman kode yang rumit, fokuslah pada tiga hal kecil ini: apakah repositori tersebut aktif (apakah ada commit yang terus-menerus, apakah ada orang yang membalas issue), apakah audit tersebut “sesuai dengan versi” (commit audit dan versi yang sedang berjalan benar-benar sama), dan siapa yang memegang kunci upgrade multi-tanda tangan (berapa orang, berapa ambang batas, apakah bisa mengubah aturan dengan satu klik). Terutama akhir-akhir ini, saat staking/berbagi keamanan yang dipermasalahkan sebagai “sistem bertingkat”, meskipun hasilnya terlihat menggiurkan, jika kunci upgrade terlalu terkonsentrasi, saya malah jadi lebih waspada… Bagaimanapun, saya sekarang lebih memilih hasil yang sedikit lebih kecil, tapi ingin tahu siapa yang bisa mengendalikan arah.