最近ハードウェアウォレットが品薄になり、フィッシングリンクが飛び交っているため、むしろ私はプロジェクトの「底層の信頼性」をより重視したいと思うようになった。

私が初心者向けに考えた簡単な方法は：まずGitHubを見るときに、星の数を見るのではなく、最近誰かが実際にコミットしているか、バグを修正しているか、issueに返信しているかを見ること；次に監査報告書を確認するが、「合格/監査済み」の四文字だけに注目せず、リスクが明確に列挙されているか、再検査が行われているか、受け入れられた問題が「既知だが修正しない」とされているかを重点的に見る。
最後にアップグレードの多署名を見る：誰が署名できるか、何人必要か、タイムロック（反応時間を設けるもの）があるかどうか。
要するに、これらのことが理解できなくても構わない。
「誰が管理しているか、どう管理しているか、何か問題が起きたときに誰が責任を取るか」を判断できれば十分だ。
とにかく、今私が見ているのは、アップグレードに一つの鍵だけでできるものだけなので、まずそれを避けている。