Deployer-Schlüssel sollten völlig nicht vertrauenswürdig sein und als Wegwerfschlüssel behandelt werden. Selbst bei einem aktualisierbaren Protokoll sollte ein Schlüssel bereitgestellt, konfiguriert und dann die Kontrolle dauerhaft abgeben. Dann kann die Hauptgovernance den neuen Code überprüfen und akzeptieren.