Recentemente, ao verificar projetos, eu primeiro vou no GitHub, não para parecer profissional, mas para procurar alguns "sinais": se o código está sendo atualizado continuamente, se há alguém realmente acompanhando os bugs nas issues, se há discussões de PR com troca de opiniões, não aquele tipo que faz uma apresentação e usa o repositório como vitrine. E também só olho alguns pontos nos relatórios de auditoria: se o auditor se atreve a escrever "escopo não coberto", se os riscos críticos foram reconhecidos e corrigidos pelo projeto, o que mais me preocupa é aquele tipo de relatório cheio de conclusões todas de "baixo risco", que na verdade me deixam mais inseguro ao ler.

Para a questão de multi-assinatura, fica mais direto: quem são os signatários, se estão dispersos, se o limite de assinatura impede decisões unilaterais por alguém que decide de cabeça quente... Em resumo, prefiro fazer as coisas devagar, do que acordar um dia e descobrir que o contrato foi "corrigido a quente". Recentemente, as discussões sobre conformidade de moedas de privacidade/mescladores estão acaloradas, mas eu valorizo mais se o projeto deixa claro os limites, ao invés de gritar por privacidade e ao mesmo tempo jogar todos os riscos para os usuários, isso cansa. Por enquanto, é assim, vamos com calma.