Я недавно слышал, как проектные команды хвалят «модульный/DA уровень» до небес, разработчики в восторге, а пользователи (включая меня) немного запутались… поэтому моя оценка доверия очень простая: сначала смотрю GitHub, чтобы понять, только ли они меняют README, есть ли последовательные коммиты, и действительно ли основной код поддерживается одной командой на протяжении долгого времени; затем смотрю отчеты по аудиту, важны не те крупные логотипы, а «что обнаружили, как исправили, есть ли повторная проверка после исправлений», если отчет написан так, что его невозможно понять, я сразу ставлю крест.

Также по поводу обновления мультиподписей, по сути, это «кто может управлять вашими деньгами». Какие требования к нескольким подписям, все ли подписанты — свои люди, есть ли таймлок (чтобы у вас было время на побег), — эти вещи важнее, чем просто рассказ. Мне тоже грустно, кажется, что нужно проверять всё больше и больше… но с другой стороны, по крайней мере, есть следы, не приходится полностью доверять на слово. В любом случае, я предпочитаю медленнее заходить в проект, сначала плотно закрываю приватные ключи.