Alguns dias atrás, quis experimentar um novo protocolo, pesquisei bastante no GitHub, as contribuições estavam bastante ativas, mas meu tipo de obsessão por segurança ainda faz eu primeiro verificar "quem está mesclando o código", se há um ou dois mantenedores principais que estão ausentes há muito tempo... Também não basta apenas olhar o relatório de auditoria na capa, basta escolher a página de conclusões: qual o escopo coberto, se há vulnerabilidades críticas não corrigidas, se as correções são "confirmadas" ou se o desenvolvedor disse que resolveu. Atualizar a assinatura múltipla é ainda mais importante, eu verifico o número de assinantes e o limiar, de preferência também consigo ver se os assinantes são dispersos, se há troca temporária de pessoas. Já aconteceu uma vez, no grupo do projeto estavam pressionando muito, do lado macro também discutiam expectativa de redução de juros, o dólar estava se mexendo e os ativos de risco estavam subindo junto, minha mão também coçava... Mas ao ver que a assinatura múltipla tinha acabado de ser atualizada, e a lista de membros ainda não tinha sido tornada pública, desisti, se não entendo, não mexo primeiro, perder a oportunidade é uma coisa, pelo menos não vou chorar no meio da noite.