Gần đây xem dự án “lại nâng cấp đa chữ ký, lại dán báo cáo kiểm toán”, trong nhóm có rất nhiều người bắt đầu tự động cộng điểm tin cậy. Phương pháp của tôi là: trước tiên xem trên GitHub, xem các lần đóng góp có được duy trì lâu dài không, đừng kiểu nửa năm không động đậy, rồi đêm hôm mới vội vàng bổ sung README; sau đó xem báo cáo kiểm toán, trọng tâm không phải là bìa báo cáo có hoành tráng hay không, mà là trong danh sách vấn đề có “đã sửa / chưa sửa” theo dõi không, tốt nhất là phù hợp với các thay đổi trong mã nguồn. Cũng đừng chỉ nhìn vào “3/5 rất an toàn” của đa chữ ký, xem ai ký, có phải là cùng một nhóm người dùng ảo đổi tên không, nói trắng ra, đa chữ ký không minh bạch thì chỉ hơn chữ ký đơn chút chút thôi. Gần đây còn hết hàng ví phần cứng, liên kết lừa đảo đầy rẫy, càng trong thời điểm này càng thấy rõ: an toàn trên lời nói rất quan trọng, còn hành động thì vẫn khá tùy ý… Tôi sẽ kiểm tra lại tất cả quyền ủy quyền và dấu trang, để khỏi ngày nào đó dậy muộn hơn một chút lại phải bổ sung.