Каждый раз, когда я вижу проект с ссылкой на GitHub и отчет об аудите, у меня руки начинают чесаться — хочется зайти и посмотреть… В психологическом плане, скорее всего, я ищу ощущение «другие тоже посмотрели, значит, можно быть спокойным» — по сути, я доверяю авторитету, чтобы укрепить свою уверенность.

Но если новичок действительно хочет проверить надежность, я считаю, что не стоит сразу углубляться в сложность кода, лучше обратить внимание на три простых вещи: активен ли репозиторий (есть ли постоянные коммиты, отвечают ли на issue), соответствует ли аудит текущей версии (совпадает ли коммит, на который делается аудит, с текущим состоянием проекта), и кто держит ключи для обновления мультиподписей (сколько человек, какой порог, можно ли одним кликом изменить правила). Особенно в последнее время, когда система залога/обмена безопасностью подвергается критике за «сложность» — даже если доходность кажется привлекательной, если ключи для обновления слишком централизованы, я начинаю волноваться… В любом случае, сейчас я предпочитаю получать меньшую доходность, но сначала понять, кто может управлять направлением.