Recentemente, ao verificar o projeto, "foi atualizado com múltiplas assinaturas e também passou por auditoria", no grupo várias pessoas começaram a automaticamente atribuir pontos de confiança. Meu método caseiro é: primeiro, verificar no GitHub se há manutenção contínua, não aquelas que ficam seis meses sem mexer e só atualizam o README na última hora antes do lançamento; depois, olhar o relatório de auditoria, o foco não é só na capa luxuosa, mas se na lista de problemas há itens marcados como "corrigido/não corrigido" com acompanhamento, de preferência alinhado às mudanças no código. Quanto às múltiplas assinaturas, não basta olhar só se "3/5 é seguro", quem assinou, se é a mesma equipe usando contas alternativas, pois assinaturas múltiplas pouco transparentes são só um pouco mais confiáveis do que assinatura única. Recentemente, as carteiras de hardware estão esgotadas, links de phishing estão por toda parte, e quanto mais esses problemas aparecem, mais se percebe: as pessoas falam que segurança é importante, mas na prática ainda é meio casual... Vou revisar todas as autorizações e favoritos para evitar que, se eu acordar mais tarde algum dia, precise fazer ajustes de última hora.