Recentemente, voltei a ver alguém perguntar “GitHub open source + auditoria = seguro?”. Para ser sincero, são apenas pontos adicionais, não um escudo protetor. Os iniciantes querem verificar a confiabilidade, acho que primeiro não devem focar nas estrelas e na popularidade no Twitter, mas sim verificar os registros de commits para ver se há manutenção contínua, se as mudanças principais têm explicação, se há alguém relatando vulnerabilidades nos issues e se elas são tratadas com seriedade; também não basta olhar apenas para o “aprovado” na capa do relatório de auditoria, o mais importante é verificar se as vulnerabilidades críticas foram corrigidas, se houve uma segunda revisão, e como as correções foram validadas. Quanto à atualização de múltiplas assinaturas, dizer que “é governança descentralizada” soa bem, mas os detalhes são que as permissões estão minimizadas, quem pode pausar em emergência, se os signatários são um grupo de pessoas trocando de identidade, esses detalhes são os verdadeiros pontos problemáticos. Recentemente, com o aumento das regulações e a possibilidade de impostos adicionais, as expectativas de entrada e saída de fundos ficaram mais sensíveis, quanto mais ansiosos, mais fácil é se convencer com as palavras “auditado” e ficar empolgado… De qualquer forma, continuo com meu hábito antigo: dividir posições, devagar, não acreditar em histórias perfeitas. Agora vou trabalhar.