في الآونة الأخيرة سألني بعض الأصدقاء: GitHub، تقارير التدقيق، وترقية التوقيع المتعدد، ماذا يجب أن نركز عليه لنعتبرها "موثوقة"؟ بصراحة، لا تتوقع أن تكتشف الحقيقة بنظرة واحدة، عادةً أركز على بعض النقاط البسيطة جدًا.

أولاً، نراجع GitHub: هل هناك أشخاص يغيرون ويعدلون بشكل مستمر، وهل التعديلات تتطابق مع النسخة على السلسلة، وهل هناك شعور بالتوتر عند اقتراب الإطلاق، مثل "تغييرات كبيرة دفعة واحدة قبل الإطلاق مباشرة"؟ لا تثق كثيرًا في شعارات الشركات الكبيرة في تقارير التدقيق، الأهم هو أن نرى قائمة المشاكل وهل تم إصلاح المخاطر العالية، وهل تم شرح طرق الإصلاح بشكل واضح، وأخشى تلك الحالة التي يقول فيها التقرير "المخاطر المعروفة، ونحن قبلناها" بشكل مختصر. الترقية عبر التوقيع المتعدد أكثر واقعية: من هو الموقع، كم عدد الموقعين، هل يوجد توقيت زمني (لمنحك وقتًا للرد)، وهل الصلاحيات كبيرة جدًا بحيث يمكنها تعديل القواعد مباشرة.

مؤخرًا، أصبح التنظيم يتشدد أحيانًا ويخفف أحيانًا أخرى، وتوقعات الناس بشأن الدخول والخروج من الأموال تتغير، مما يجعل المشاريع أكثر عرضة لاستخدام "ترقية عاجلة" كذريعة. على أي حال، عندما أرى كلمة "عاجل" أبطئ الخطى، وأفحص صلاحيات العمليات والإجراءات بشكل أدق.