جربت مرة واحدة، وكنت أتصرف كمبتدئ لأتحقق من مشروع يحتاج إلى ترقية عقد وتوقيع متعدد، ووجدت أن الأسهل ليس في رؤية ما يروجون له، بل في ملاحظة ما تركوه من آثار. أولاً، أتحقق من سجل التعديلات على GitHub: هل هناك دفعة مفاجئة من الشيفرة، هل هناك شخص واحد يضغط على التحديث بشكل مفرط، هل هناك من يثير قضايا أمنية في المشاكل ولم يرد أحد… هذه التفاصيل تكشف الكثير. كما أن تقرير التدقيق لا ينبغي أن يركز فقط على “النجاح/عدم وجود مشاكل كبيرة”، بل أتحقق من وجود إصلاحات واضحة للمخاطر العالية، وهل تم إعادة التدقيق بعد الإصلاح، على الأقل تلك الحالات التي تقول “تم العلم، وسنواصل لاحقًا” تثير قلقي. أما بالنسبة للتوقيع المتعدد، فالأمر أكثر وضوحًا: هل الموقعون متفرقون، هل العتبة معقولة، هل هناك تأخير في الترقية أو قفل زمني، وإلا فالأمر ببساطة هو “عدة أشخاص يضغطون على الأزرار معًا”، وإذا حدث خطأ، يمكنهم التعديل بسرعة. مؤخرًا، محفظة الأجهزة تنفد، وروابط التصيد تنتشر في كل مكان، الآن أوقف أي عملية “تحديث/توقيع” قبل ثلاث ثوانٍ، أفضّل أن أضيع فرصة لخطأ بسيط، على أن أعود في منتصف الليل لأكتشف أن الأمر كان خطئي.