Recentemente, ao analisar projetos, começo sempre por consultar o GitHub, não por ser um especialista, mas para procurar alguns "sinais": se o código está sendo atualizado continuamente, se há alguém realmente acompanhando os bugs nas issues, se há discussões de pull requests com troca de opiniões, e não apenas uma exibição de portfólio como uma vitrine. Quanto ao relatório de auditoria, também foco em alguns pontos: se a equipe de auditoria se atreve a escrever que há áreas não cobertas, se os riscos principais foram reconhecidos e corrigidos pela equipe do projeto, e o que mais me preocupa é aquela situação em que todas as conclusões são "baixas", o que acaba me deixando mais inseguro ao terminar de ler.

A questão de múltiplas assinaturas é mais visual: quem são os signatários, se estão dispersos, se o nível de segurança impede decisões unilaterais por uma única pessoa... Em resumo, prefiro ser mais lento, do que acordar um dia e descobrir que o contrato foi "corrigido" de forma remota. Recentemente, as discussões sobre conformidade de moedas de privacidade/mescladores estão acaloradas, mas eu valorizo mais se o projeto deixa claro os limites, ao invés de gritar por privacidade e ao mesmo tempo jogar todos os riscos para os usuários, o que é cansativo. Por enquanto, é assim, vamos com calma.