Tối qua xem tài liệu dự án xong cảm thấy hơi sợ… Suýt nữa thì định vào vị trí vì “mọi người trong nhóm đều nói đáng tin cậy”, kết quả mở GitHub ra thì thấy hợp đồng chính chưa từng động trong nửa năm, các lần cập nhật gần đây đều là sửa README; Báo cáo kiểm toán thì có, nhưng trang kết luận viết khá đẹp mắt, trong chi tiết có vài mục rủi ro trung cao lại được đánh dấu là “Chấp nhận rủi ro / Thảo luận sau”. Quan trọng hơn là quyền nâng cấp: ai là người ký đa chữ ký, ngưỡng bao nhiêu, có timelock (loại cho bạn thời gian dự phòng) hay không, mà không ghi rõ, thì tôi hiện tại đều coi như đèn đỏ. Nói thẳng ra, người mới muốn xem “độ tin cậy” thì đừng chỉ nhìn vào câu “đã kiểm toán”, mà nên xem kỹ hơn lịch sử cập nhật + cấu trúc quyền hạn + kiểm toán có theo kịp phiên bản không. Gần đây phí cực cao, mọi người tranh luận về việc đảo chiều hay tiếp tục bơm bóng, tôi lại càng muốn làm rõ những nền tảng này như “ai có thể sửa mã” trước đã… cứ từ từ cũng được.