بالأمس في المجموعة مرة أخرى كان هناك جدل حول "هل هذا المشروع موثوق به أم لا"، وأنا أقول كلامًا لتهدئة الأمور، وفي يدي أضغط بصمت على GitHub… بصراحة، لا تتعجلوا في النظر إلى الكود، خاصة إذا كنتم مبتدئين، بل أولاً تحققوا مما إذا كان هناك "آثار حية": هل هناك تحديثات مستمرة مؤخرًا، هل يرد أحد بجدية على المشاكل في قسم القضايا، هل هناك مراجعة بعد الانتهاء من المشكلة، وليس تلك التي كانت آخر تحديث قبل نصف سنة وتتصنع الهدوء.

كما أن تقرير التدقيق لا ينبغي أن يُعتبر درعًا واقيًا، والأهم أن تتأكد من: هل التدقيق هو لأحدث إصدار، هل تم إصلاح المشاكل، وهل تم التحقق مرة أخرى بعد الإصلاح؛ وأخطر شيء هو أن يُكتب "تم التدقيق" كعلامة براءة، وعند تفتيش التفاصيل تجد أن هناك "مخاطر منخفضة لم تُصلح (تحمل المخاطر)"… نعم، أنت تعرف من يتحمل المخاطر.

أما بالنسبة لترقية التوقيع متعدد، فأنا أركز أكثر على "من يمكنه التحرك": هل الموقعون موزعون بشكل متفرق، هل يوجد قفل زمني (يعطيك وقتًا للتفكير)، هل قائمة الصلاحيات لا يمكن رؤيتها كلها مرة واحدة. مؤخرًا، محفظة الأجهزة نفدت، وروابط الصيد تنتشر في كل مكان، فلا تتوقع أن تكون أسرع من الهاكرز… الآن عندما أرى "انقر هنا للحصول على إيكو" أعتبرها لعبة صغيرة على المائدة: من ينقر يدعو الآخرين.