Atlas Trust - Sobre auditoria, manutenção e contribuições

Estou criando o Atlas Trust, uma camada de confiança para pacotes open-source.

A ideia é simples: hoje a gente instala dependências olhando pouco para três coisas que deveriam importar muito:

1. Auditoria
   O pacote parece seguro? Tem sinais estranhos? Scripts perigosos? Metadata fraca? Histórico suspeito?

2. Manutenção
   O projeto ainda está vivo? Recebe releases? Tem mantenedores ativos? Parece abandonado? Depende de uma única pessoa?

3. Apoio financeiro
   Esse pacote tem funding? O mantenedor recebe algum incentivo? Existe alguma forma clara de apoiar quem mantém aquilo funcionando?

O Atlas Trust nasce para juntar esses sinais em um relatório simples, local e explicável.

A ambição não é substituir npm, pnpm ou yarn.

A ambição é criar uma camada extra de confiança entre o desenvolvedor e as dependências que ele instala.

Algo que ajude a responder:

“Esse pacote é seguro, saudável e sustentado o suficiente para eu confiar nele?”

No longo prazo, eu gostaria que o Atlas Trust também ajudasse a destacar bons mantenedores e pacotes importantes que merecem apoio financeiro.

Porque segurança open-source não é só bloquear pacote ruim.

Também é ajudar pacote bom a continuar vivo.

Repositório:
https://github.com/realknove/atlas-trust

Aceito críticas, sugestões e ideias.