Щодо проекту «надійний чи ні», я зазвичай спершу не дивлюся на PPT, а на GitHub і аудит. GitHub не дивлюся на кількість зірок (це теж можна накрутити), а просто дивлюся: чи є постійний перегляд у основного репозиторію, чи є серйозні суперечки в issue, чи є пояснення у PR щодо того, чому саме так змінили. Також не варто піддаватися ілюзії логотипу в аудиторському звіті, важливо дивитися, чи є чіткий запис про виправлення знайдених проблем, особливо у частині «прав доступу/оновлень».

Більш важливий аспект — мульти-підпис для оновлень: кілька ключів, хто їх тримає, чи є затримка у їх активізації через таймлок, чи можна терміново призупинити роботу, але не можна довільно змінювати логіку. Кажучи простою мовою, чим менше людей мають доступ до зміни коду і чим прозоріше процес, тим спокійніше спиш. Останнім часом багато суперечок навколо приватних монет/мішаних монет через питання відповідності, але насправді все так само: нерозмежовані межі, все зводиться до прав доступу і процедур.

Я зараз спершу очищу кілька старих контрактів від дозволів, щоб не довелося прокидатися зранку і виявити, що оновлення вже відбулося у сні.