Gần đây luôn có người hỏi tôi làm thế nào để đánh giá xem dự án có đáng tin cậy hay không, tôi cũng không phải là thầy giáo, chỉ nói cách của riêng tôi: trước tiên mở GitHub ra, đừng nhìn số sao nhiều hay ít, chủ yếu xem xem cập nhật có liên tục hay không, có ai trả lời nghiêm túc trong phần issue không, những thay đổi quan trọng có giải thích rõ ràng không; sau đó xem báo cáo kiểm toán, trọng tâm không phải là “kiểm toán xong = an toàn”, mà là có rõ ràng về các điểm rủi ro không, nhóm có thực sự sửa chữa không, đừng kiểu chỉ một câu “đã xử lý” rồi bỏ qua. Còn về nâng cấp quyền… tôi bây giờ thấy hợp đồng có thể nâng cấp là phản xạ, ít nhất phải là đa chữ ký, người ký không toàn là người của mình, tốt nhất còn có khóa thời gian, nếu không thì khi mở khóa áp lực bán tháo còn chưa qua, hợp đồng quyền nữa mà bị cắt thì tôi thật không chịu nổi. Dù sao trước khi vào pool tôi cũng thích dành thêm nửa tiếng để xem những thứ này, ít kiếm ít cũng được, ít nhất còn ngủ ngon.