Недавно смотрел проект «опять обновили мультиподписывание, снова добавили аудит», в группе начали автоматически повышать уровень доверия. Мой собственный способ — сначала посмотреть на GitHub, есть ли долгосрочная поддержка, чтобы не было таких, кто полгода ничего не делал, а перед сдачей экзамена ночью дописывал README; затем смотреть отчет об аудите, важен не столько красивый обложка, сколько наличие в списке проблем статусов «исправлено/не исправлено» и возможность сопоставить их с изменениями в коде. Не стоит полагаться только на «3/5 — достаточно безопасно» для мультиподписей, важно знать, кто подписывает, это один и тот же человек под разными аккаунтами или разные; в целом, непрозрачные мультиподписи выглядят чуть лучше, чем одиночные подписи. В последнее время аппаратные кошельки тоже распроданы, фишинговых ссылок полно, и чем больше таких случаев, тем яснее становится: безопасность — это слово, которым все любят хвастаться, а на деле всё довольно случайно… Я сначала пройдусь по авторизациям и закладкам, чтобы не пришлось потом, проснувшись позже, исправлять ошибки.