TrustScope — der deterministische Trust-Report für öffentliche Open-Source-Projekte.

TrustScope prüft ein öffentliches GitHub-Repository und verdichtet das Ergebnis zu einem deterministischen Vier-Säulen-Trust-Report — Sicherheit & Lieferkette, Governance und Community, dazu eine bewusst offen gelassene vierte Säule zur funktionalen Qualität — und versteckt die Kompromisse nie hinter einer einzigen Punktzahl.

Live ausprobieren →

Kostenlos und ohne Anmeldung — GitHub-Login nur fürs Ein-Klick-Filing.

Das Problem

Wer ein Open-Source-Tool in die eigene Lieferkette holt, verlässt sich auf fremden Code — und muss abschätzen, wie weit er ihm trauen kann. Ein Stern-Zähler oder eine grüne Badge sagt darüber wenig. Die eigentlich wichtigen Fragen — Ist es sicher gebaut? Steht ein verlässliches Projekt dahinter? Wird es in einem Jahr noch gepflegt? — bleiben unbeantwortet oder verschwinden hinter einer einzigen Zahl.

Die vier Säulen

TrustScope beantwortet diese Fragen getrennt, weil jede eine andere ist:

  1. Funktionale Qualität — bewusst nicht bewertet. Ob ein Tool gut gebaut ist, ist ein Handwerksurteil; TrustScope täuscht es nicht vor, sondern hält die Säule ehrlich offen.
  2. Sicherheit & Lieferkette — die vollständige OpenSSF Scorecard: Branch-Protection, signierte Releases, Dependency-Hygiene und mehr.
  3. Trust & Governance — Lizenz, Security-Policy und der verantwortliche Owner: Kann man dem Projekt hinter dem Code trauen?
  4. Community & Nachhaltigkeit — Wartung, Beitragende und Aktivität als Lebenszyklus-Phase, nicht als Schulnote.

Warum keine einzige Punktzahl

Kein aggregierter Gesamt-Score — mit Absicht. Jede Säule beantwortet eine andere Frage; sie zu einer Zahl zu verrechnen, versteckt genau den Kompromiss, den man gerade abwägt.

Wie funktioniert TrustScope?

  1. Du gibst ein öffentliches GitHub-Repository an.
  2. TrustScope wertet es deterministisch aus — auf Basis der OpenSSF Scorecard und der öffentlichen GitHub-Daten — und legt die vier Säulen offen.
  3. Zu jedem Befund gibt es konkrete, konstruktive Verbesserungsvorschläge. Auf Wunsch reichst du sie mit einem Klick als freundliches Issue beim Projekt ein — als du selbst, mit sichtbarer „via TrustScope"-Kennzeichnung.

Live ausprobieren

trustscope.neckarshore.ai — kostenlos und ohne Anmeldung. Ein GitHub-Login brauchst du nur, wenn du Vorschläge direkt als Issue einreichen willst.

Status & Roadmap

Live und quelloffen (MIT) unter github.com/neckarshore-mmps/trustscope. Das Fundament — die deterministische Report-Engine, die Scorecard-Anbindung und der Issue-Flow — läuft in der Produktion. Geplant sind eine durchsuchbare Report-Galerie und gespeicherte Verläufe.

Wie dieser Text entstand

KI-beschleunigt entworfen, vom Gründer redigiert — dieselbe Arbeitsweise, die Neckarshore baut.

Häufige Fragen

Was macht TrustScope?+

TrustScope prüft ein öffentliches GitHub-Repository und erstellt daraus einen deterministischen Trust-Report entlang von vier Säulen. Das Problem, das TrustScope löst: Wer ein Open-Source-Tool in die eigene Lieferkette holt, verlässt sich auf fremden Code — und ein Stern-Zähler oder eine grüne Badge sagt wenig darüber, wie weit man ihm trauen kann. TrustScope beantwortet die eigentlich wichtigen Fragen getrennt: Sicherheit & Lieferkette auf Basis der vollständigen OpenSSF Scorecard, Trust & Governance über Lizenz, Security-Policy und Owner, sowie Community & Nachhaltigkeit als Lebenszyklus-Phase statt als Schulnote. Die funktionale Qualität bleibt bewusst offen — ein Handwerksurteil, das TrustScope nicht vortäuscht. Zu jedem Befund gibt es konkrete, konstruktive Verbesserungsvorschläge, die du auf Wunsch mit einem Klick als freundliches Issue beim Projekt einreichst.

Warum gibt es keine einzige Gesamt-Punktzahl?+

Mit Absicht keine. Jede der vier Säulen beantwortet eine andere Frage — Ist es sicher gebaut? Steht ein verlässliches Projekt dahinter? Wird es weiter gepflegt? Sie zu einer einzigen Zahl zu verrechnen würde genau den Kompromiss verstecken, den man gerade abwägt.

Woher kommen die Bewertungen?+

Aus der OpenSSF Scorecard und den öffentlichen GitHub-Daten des Repositories — deterministisch, also für dasselbe Repo reproduzierbar. Nur die funktionale Qualität wird bewusst nicht bewertet: Ob Software gut gebaut ist, ist ein Handwerksurteil, das sich nicht seriös automatisieren lässt — also täuscht TrustScope es nicht vor.

Was kostet TrustScope, und brauche ich ein Konto?+

TrustScope ist kostenlos und ohne Anmeldung nutzbar — du gibst ein öffentliches Repo an und bekommst den Report. Ein GitHub-Login brauchst du nur, wenn du einen Verbesserungsvorschlag direkt als Issue beim Projekt einreichen willst; das Issue wird dann als du selbst erstellt, mit sichtbarer „via TrustScope"-Kennzeichnung. Der Code ist quelloffen (MIT).