---
title: "TrustScope — der deterministische Trust-Report für öffentliche Open-Source-Projekte."
source: "https://neckarshore.ai/products/trustscope"
site: "neckarshore.ai"
exported: "2026-07-02"
---

# TrustScope — der deterministische Trust-Report für öffentliche Open-Source-Projekte.

> TrustScope prüft ein öffentliches GitHub-Repository und verdichtet das Ergebnis zu einem deterministischen Vier-Säulen-Trust-Report — Sicherheit & Lieferkette, Governance und Community, dazu eine bewusst offen gelassene vierte Säule zur funktionalen Qualität — und versteckt die Kompromisse nie hinter einer einzigen Punktzahl.

## Das Problem

Wer ein Open-Source-Tool in die eigene Lieferkette holt, verlässt sich auf fremden Code — und muss abschätzen, wie weit er ihm trauen kann. Ein Stern-Zähler oder eine grüne Badge sagt darüber wenig. Die eigentlich wichtigen Fragen — Ist es sicher gebaut? Steht ein verlässliches Projekt dahinter? Wird es in einem Jahr noch gepflegt? — bleiben unbeantwortet oder verschwinden hinter einer einzigen Zahl.

## Die vier Säulen

TrustScope beantwortet diese Fragen getrennt, weil jede eine andere ist:

1. **Funktionale Qualität** — bewusst *nicht* bewertet. Ob ein Tool gut gebaut ist, ist ein Handwerksurteil; TrustScope täuscht es nicht vor, sondern hält die Säule ehrlich offen.
2. **Sicherheit & Lieferkette** — die vollständige OpenSSF Scorecard: Branch-Protection, signierte Releases, Dependency-Hygiene und mehr.
3. **Trust & Governance** — Lizenz, Security-Policy und der verantwortliche Owner: Kann man dem Projekt hinter dem Code trauen?
4. **Community & Nachhaltigkeit** — Wartung, Beitragende und Aktivität als Lebenszyklus-Phase, nicht als Schulnote.

## Warum keine einzige Punktzahl

Kein aggregierter Gesamt-Score — mit Absicht. Jede Säule beantwortet eine andere Frage; sie zu einer Zahl zu verrechnen, versteckt genau den Kompromiss, den man gerade abwägt.

## Wie funktioniert TrustScope?

1. Du gibst ein öffentliches GitHub-Repository an.
2. TrustScope wertet es deterministisch aus — auf Basis der OpenSSF Scorecard und der öffentlichen GitHub-Daten — und legt die vier Säulen offen.
3. Zu jedem Befund gibt es konkrete, konstruktive Verbesserungsvorschläge. Auf Wunsch reichst du sie mit einem Klick als freundliches Issue beim Projekt ein — als du selbst, mit sichtbarer „via TrustScope"-Kennzeichnung.

## Live ausprobieren

[trustscope.neckarshore.ai](https://trustscope.neckarshore.ai) — kostenlos und ohne Anmeldung. Ein GitHub-Login brauchst du nur, wenn du Vorschläge direkt als Issue einreichen willst.

## Status & Roadmap

Live und quelloffen (MIT) unter [github.com/neckarshore-mmps/trustscope](https://github.com/neckarshore-mmps/trustscope). Das Fundament — die deterministische Report-Engine, die Scorecard-Anbindung und der Issue-Flow — läuft in der Produktion. Geplant sind eine durchsuchbare Report-Galerie und gespeicherte Verläufe.

## Wie dieser Text entstand

KI-beschleunigt entworfen, vom Gründer redigiert — dieselbe Arbeitsweise, die Neckarshore baut.

## Häufige Fragen

### Was macht TrustScope?

TrustScope prüft ein öffentliches GitHub-Repository und erstellt daraus einen deterministischen Trust-Report entlang von vier Säulen. Das Problem, das TrustScope löst: Wer ein Open-Source-Tool in die eigene Lieferkette holt, verlässt sich auf fremden Code — und ein Stern-Zähler oder eine grüne Badge sagt wenig darüber, wie weit man ihm trauen kann. TrustScope beantwortet die eigentlich wichtigen Fragen getrennt: Sicherheit & Lieferkette auf Basis der vollständigen OpenSSF Scorecard, Trust & Governance über Lizenz, Security-Policy und Owner, sowie Community & Nachhaltigkeit als Lebenszyklus-Phase statt als Schulnote. Die funktionale Qualität bleibt bewusst offen — ein Handwerksurteil, das TrustScope nicht vortäuscht. Zu jedem Befund gibt es konkrete, konstruktive Verbesserungsvorschläge, die du auf Wunsch mit einem Klick als freundliches Issue beim Projekt einreichst.

### Warum gibt es keine einzige Gesamt-Punktzahl?

Mit Absicht keine. Jede der vier Säulen beantwortet eine andere Frage — Ist es sicher gebaut? Steht ein verlässliches Projekt dahinter? Wird es weiter gepflegt? Sie zu einer einzigen Zahl zu verrechnen würde genau den Kompromiss verstecken, den man gerade abwägt.

### Woher kommen die Bewertungen?

Aus der OpenSSF Scorecard und den öffentlichen GitHub-Daten des Repositories — deterministisch, also für dasselbe Repo reproduzierbar. Nur die funktionale Qualität wird bewusst nicht bewertet: Ob Software gut gebaut ist, ist ein Handwerksurteil, das sich nicht seriös automatisieren lässt — also täuscht TrustScope es nicht vor.

### Was kostet TrustScope, und brauche ich ein Konto?

TrustScope ist kostenlos und ohne Anmeldung nutzbar — du gibst ein öffentliches Repo an und bekommst den Report. Ein GitHub-Login brauchst du nur, wenn du einen Verbesserungsvorschlag direkt als Issue beim Projekt einreichen willst; das Issue wird dann als du selbst erstellt, mit sichtbarer „via TrustScope"-Kennzeichnung. Der Code ist quelloffen (MIT).
