Végül is nem kizárt, hogy mostanra tudja. Arra gondolok, hogy pl. gizike felhasználónak engedélyezed, hogy futtassa a /usr/bin/pacman -Syu parancsot. De csak gizike, csak azt, csak ebben a formában, ha simán pacman-ként futtatja, vagy /bin/pacman, esetleg ./pacman-ként, akkor nem fog neki menni (ezt eddig a sudo is tudja), vagy ha valami más paraméterrel hívná meg, -S, -Syy, -R, -F, akármi, akkor azt se tudja megtenni, lényegében így csak szabályosan frissíteni tud (a sync-et így nem tudja kihagyni update előtt szabálytalanul), de nem tud csomagot eltávolítani, felbarmolni, tárolót hozzáadni, stb.. Így általánosan visszaélni nem lehet vele, mivel egy esetleges támadó nem tudja, hogy pont gizikének (és nem gibszjakab felhasználónak), pont ezzel a konkrét elérési úttal és kapcsolókombóval engedve van valami, és természetesen a /etc/doas.conf-ból sem lehet puskázni, mert az meg rendszerfájlként access denied-dal fog visszaérkezni, és ha valaki paranoiás, akkor a shell rc-jében is megadhatja, hogy az ilyen speciális doas config alapján hívott akciókat a rendszer ne mentse history-ban, ahonnan ki lehetne figyelni, esetleg valami külön scriptben hívni billkombóval és nem terminálból indítani. Plusz mivel nem elterjedt, így a doas-t nem támadják még annyira a hackerek, mint a sudo-t. Sérülékenység sincs benne annyi, de nem azért, mert profibban van megírva, hanem a kódbázisa kisebb, ennél fogva kevesebb alkalom van valami rést találni rajta, és ha mégis akad, akkor könnyebb foltozni, kicsi projekt, valami alig párszáz sor. Az OpenBSD-féle és suckless-típusú minimalizmus előnye, hogy fapad, nem felhasználóbarát, de cserébe szög egyszerű, bomba biztos, stb.. Verzió sem jön ki belőle túl gyakran, így még lustáéknak is ideális, hogy nem kell állandóan frissíteni ezt a komponenst is.