Skip to content

GITLAB-ERGEBNISSE.md

Latest commit

 

History

History
308 lines (251 loc) · 17.3 KB

GITLAB-ERGEBNISSE.md

File metadata and controls

308 lines (251 loc) · 17.3 KB

D-Stack GitLab-Untersuchungsergebnisse

Ergebnisse der Analyse der gitlab.opencode.de/dstack-Gruppe, einschliesslich Repository-Struktur, Issue-Tracker-Inhalte und Konsultations-Feedback der Community.

Untersuchungsdatum: Marz 2026

1. Repository-Struktur

1.1 Die dstack-Gruppe

Die dstack-Gruppe auf gitlab.opencode.de enthalt ein offentliches Projekt:

Projekt Pfad Sichtbarkeit Beschreibung
D-Stack Home dstack/d-stack-home Offentlich Webseiteninhalte (Markdown-Dokumente, uber CI-Pipeline gerendert). Landing Page fur alle D-Stack-Aktivitaten.

Zwei offentliche Forks existieren (OC000017044029/d-stack-home, oc000052166394/d-stack-home), aber keine Untergruppen oder zusatzlichen Projekte.

1.2 Das Landkarten-Repository

Die Technologie-Landkarte auf technologie.deutschland-stack.gov.de verlinkt im Footer auf ein OpenCode-Projekt unter:

https://gitlab.opencode.de/dstack/techstack-landkarte

Dieses Repository liefert fur alle offentlichen und authentifizierten Nutzer einen 404-Fehler. Es scheint nur fur interne Teammitglieder zuganglich zu sein.

Belege:

  • Issue #24 (7. Okt. 2025, geschlossen): Meldet den defekten Link. Geschlossen ohne Behebung.
  • Issue #48 (10. Okt. 2025, geschlossen): Meldet denselben defekten Link plus defekte Datenlabor-/EU-Forderungsgrafiken. Geschlossen ohne Behebung.
  • Issue #99 (13. Okt. 2025, offen): Meldet denselben defekten Link. Stand Marz 2026 (5 Monate spater) noch immer offen. Ein D-Stack-Teammitglied (oc000002991333) kommentierte am 20. Jan. 2026: "Der Link sollte funktionieren, bei mir funktioniert er" -- was bestatigt, dass das Repository existiert, aber nur fur Teammitglieder zuganglich ist.
  • Ein Kommentator in #99 stellte fest: "das eigentliche Problem hier ist jedoch, dass der Link offentlich auf der Seite erwahnt ist - und es an der dort sehr wahrscheinlich vorhandenen Datengrundlage der Visualisierung echtes Interesse gibt. Ich z.B. mochte diese Daten mittels eigener KI analysieren um dann auch Input fur die Konsultation geben zu konnen."

Suchen uber ganz gitlab.opencode.de nach techstack, landkarte, landscape, datenlabor und cncf ergaben keine weiteren Ergebnisse.

1.3 Webseiten-Inhaltsstruktur (d-stack-home)

Das d-stack-home-Repository enthalt die Markdown-Quellen fur deutschland-stack.gov.de:

d-stack-home/
├── .gitlab-ci.yml           (nutzt md-to-web-CI-Komponenten von open-code)
├── .npmrc
├── LICENSE                  (leer)
├── README.md
├── assets/graphics/         (Logos)
└── dokument/
    ├── _meta.yaml           (Menustruktur)
    ├── abkuerzungen.yaml    (Abkurzungen)
    ├── glossar.yaml          (Glossar)
    ├── index.mdx            (Startseite)
    ├── aufbau.md            (Struktur / Schichtenmodell)
    ├── beteiligung.md       (Beteiligungsverfahren)
    ├── gesamtbild.md        (Strategische Ubersicht)
    ├── kriterien.md         (Bewertungskriterien)
    ├── landkarte.md         (Landkartenbeschreibung -- verlinkt auf ext. Visualisierung)
    ├── barriere-melden.md
    ├── datenschutz.md
    ├── erklaerung-zur-barrierefreiheit.md
    ├── impressum.md
    └── leichte-sprache.md

Die CI-Pipeline verwendet open-code/document-writing-tools/document-writing-ci-components/md-to-web@v2 zur Konvertierung von Markdown in eine Webseite, bereitgestellt mit dem kernux-Theme.

1.4 Technische Details der Landkarte (aus landkarte.md)

Die Datei landkarte.md im Repository beschreibt die Architektur der Landkarte:

  • Adaptiert von der CNCF Landscape
  • Erstellt vom Datenlabor des BMI
  • Datenquelle: "inhaltliche Basis zum Tech-Stack in openCode"
  • Ansichten: Grid (Swimlanes nach Stack-Schicht, Gruppen horizontal) und Card (gruppierte Kacheln mit Kurzinfo)
  • Technologie-Steckbriefe: Logo, Name, verantwortliche Stelle, Typ, Einordnung, Beschreibung, Tags, Reifegrad, Mehrwert, Quelle, Status, Lizenz, Abhangigkeiten, externe Links und Konformitatsbewertung anhand der sechs D-Stack-Kriterien
  • Kein automatisiertes Datenauslesen: "Aktuell erfolgt kein automatisiertes Auslesen von Informationen zur Digital-/IT-Landschaft."
  • Noch keine dauerhafte Governance fur externe Inhalteanbieter

2. Issue-Tracker-Ubersicht

Stand Marz 2026 hat das d-stack-home-Projekt 707 offene Issues. Der Tracker dient als primarer Kanal fur beide offentlichen Konsultationsrunden.

2.1 Issue-Zusammensetzung

Die Mehrheit der Issues sind Feedback-Einreichungen aus den beiden offentlichen Konsultationsrunden. Sie lassen sich wie folgt kategorisieren:

Kategorie Ungefahre Anzahl Beschreibung
Allgemeines Seiten-Feedback ~400+ Automatisch generierte "Feedback fur die Seite /..."-Issues vom Webseiten-Feedbackformular. Viele enthalten trotz des generischen Titels substanzielle Inhalte.
Organisatorische Stellungnahmen ~40 Formale Konsultationseinreichungen von Unternehmen, Verbanden und Behorden
Technologie-Aufnahmewunsche ~30 Spezifische Anfragen zur Aufnahme von Technologien in die Landkarte
Prozess-/Governance-Feedback ~20 Vorschlage zur Verbesserung der D-Stack-Struktur, -Kriterien und -Prozesse
Fehlermeldungen ~10 Defekte Links, Tippfehler, Fehlklassifizierungen
Labels/Triage Minimal Sehr wenige Issues sind gelabelt. Issue #229 ist eine der seltenen Ausnahmen mit Labels: "Erweiterung", "To be Done", "Anderungsvorschlag"

2.2 Bekannte Datenqualitatsprobleme

Issue Problem Status
#77 Tippfehler: "NQdrant" sollte "Qdrant" heissen Offen seit Okt. 2025
#542 PostgreSQL als "STANDARD" statt "TECHNOLOGIE" fehlklassifiziert. Ebenso YAML-Klassifikation unklar. Offen seit Jan. 2026

3. Substanzielles Community-Feedback

Die folgenden Issues enthalten detaillierte technische Analysen von Praktikern und Organisationen. Viele identifizieren unabhangig voneinander dieselben Lucken, die in unserer FEHLEND-IN-LANDKARTE.md dokumentiert sind.

3.1 Ubereinstimmung mit unserer Luckenanalyse

Technologien, die von mehreren Community-Mitgliedern angefragt wurden und mit unserer Luckenanalyse ubereinstimmen:

Technologie Unser Abschnitt Community-Issues
Keycloak 2.4 (IAM) #229, #475, #496
OpenStack 1.4 (Cloud) #229, #683
SCS (Sovereign Cloud Stack) 1.4 (Cloud) #229, #683
Prometheus 2.1 (Beobachtbarkeit) #229
Grafana 2.1 (Beobachtbarkeit) #229
Ansible 2.2 (IaC) #229
Helm 2.2 (IaC) #229
OpenTofu 2.2 (IaC) #229
Harbor (Registry) 2.3 (Lieferkette) #229
Matrix-Protokoll 2.12 (Sonstiges) #221 (15 Upvotes)
SPIFFE / SPIRE 2.4 (IAM/Zero-Trust) #475
WebAuthn / FIDO / Passkeys 2.4 (IAM/Zero-Trust) #475
Linux / Betriebssystemschicht 2.10 (Endpunkt/OS) #229
Redis / Valkey 2.7 (Datenbanken) #229
cert-manager Verwandt mit 1.6 (Krypto) #475, #496
HashiCorp Vault / OpenBAO 2.4 (IAM) / Compliance #229

3.2 Neue Technologien, die nicht in unserer Analyse sind

Community-Issues identifizierten Technologien, die wir nicht abgedeckt haben:

Technologie Issue Kontext
Proxmox #229 Hypervisor / Virtualisierungsplattform. Wir identifizierten die Hypervisor-Lucke, nannten aber nicht spezifisch Proxmox.
Podman #229 Container-Engine-Alternative zu Docker. Rootless, daemonless.
Ceph #229 Verteilter Speicher. Grundlage vieler OpenStack- und Kubernetes-Deployments.
RabbitMQ #229 Message Broker. Wir listeten AMQP 1.0 als Standard, aber nicht RabbitMQ als Produkt.
Thanos #229 Langzeitspeicher fur Prometheus. Erganzt unsere Observability-Lucken.
Playwright #475, #496 Browser-E2E-Testframework. Keine Testframeworks auf der Landkarte.
JUnit / Testcontainers #475 Unit- und Integrationstests. Uberhaupt keine Testframeworks.
k6 #475, #496 Lasttestwerkzeug. Keine Performance-Tests auf der Landkarte.
Chaos Mesh #475 Chaos Engineering fur Kubernetes.
cert-manager #475, #496 Kubernetes-Zertifikatsmanagement. Kein Zertifikats-Lifecycle-Werkzeug auf der Landkarte.
Pandoc #496 Dokumentenformat-Konvertierung. Relevant fur ODF-/PDF/UA-Lucken.
JasperReports #496 Berichtsgenerierung.
KoliBri #200 Barrierefreie Komponentenbibliothek des Bundes. Bereits im Einsatz.
KERN UX #467 UX-Standard fur die deutsche offentliche Verwaltung.
GA-Lotse #496 Behordenubergreifende Prozessplattform, bereits auf openCode.
IronCalc #484 Souverane Tabellenkalkulationsengine.
F-Droid #500 Souverane Open-Source-App-Distribution fur Android. Legitime Alternative zu Google Play fur behordenverwaltete Gerate.
OpenProject / Redmine #428 Projektmanagement. Keine PM-Werkzeuge auf der Landkarte.
BlueSpice / XWiki #428 Wissensmanagement / Wikis.
Docling / Langflow #710 KI-Dokumentenverarbeitung und Workflow-Frameworks.
vLLM / llm-d #709 LLM-Inferenzserver fur KI-Modellbetrieb.
Exasol #549 Souverane europaische Analysedatenbank.

3.3 Wichtige Organisationseinreichungen

Formale Konsultationsantworten als Issues eingereicht:

Organisation Issue(s) Kernpunkte
ALASCA-FOCIS (Sachsische Open-Cloud-Initiative) #229 (8 Upvotes) Infrastructure-as-a-Service-Schicht fehlt; Betriebssystemschicht fehlt; SCS sollte aufgenommen werden; warnt vor "Souveranitatswashing" bei US-Cloud-Diensten unter Cloud Act / FISA 702
OSBA (Open Source Business Alliance) #279, #283, #286, #288, #679 Open-Source-Filter als Standard; SEAL-Badge und Jurisdiktions-Flag pro Komponente; Exit-/Migrationspfad-Dokumentation; Open-Source-Vorrang in der Beschaffung
Bitkom (Digitalverband) #415, #666 Formale Positionspapiere fur beide Konsultationsrunden
Cloudogu GmbH #428, #691 Tech-Inventur notwendig; transparenter Aufnahmeprozess; warnt davor, dass die Landkarte zum "CNCF-Landscape-Meme" wird; schlagt "Golden Path"-Ansatz und Tech Radar vor
VITAKO (kommunaler IT-Verband) #700 Feedback aus kommunaler IT-Perspektive
IT-Referat Munchen #319-#321, #327, #328, #333, #337, #339 Serie von 8 Issues: KI-Runtimes/-UIs/-Observability, Deployment-Tooling (Argo CD, Flux, Helm, Kustomize), Registries (Harbor, GitLab Registry), CRI-Tooling, Entwicklungsumgebungen, Low-Code
ekom21 (hessische kommunale IT) #459, #713 Feedback fur beide Konsultationsrunden
secunet #669 Stellungnahme des Sicherheitsunternehmens
G DATA CyberDefense AG #658 Stellungnahme des Cybersicherheitsunternehmens
KGSt (Kommunale Gemeinschaftsstelle) #668 Perspektive des Verwaltungsmanagements
Bundnis F5 (Zivilgesellschaftsbundnis) #479, #718 Zivilgesellschaftliche Perspektive fur beide Runden
DXC Technology #667 Stellungnahme des IT-Dienstleisters
KfW (Forderbank) #688 Bank-/Finanzperspektive
publicplan GmbH #506, #620 Beide Konsultationsrunden
enclaive GmbH #686 Perspektive Confidential Computing
SCS Forum #683 Sovereign-Cloud-Stack-Standards-Community
FSFE (Free Software Foundation Europe) #347, #624 Freie Software als Grundlagenprinzip
mgm technology partners #687 Stellungnahme zur zweiten Konsultationsrunde
TeleTrusT (IT-Sicherheitsverband) #727 Perspektive der IT-Sicherheitsbranche
Bundesverband Green Software #433, #436, #437 Nachhaltigkeit und Green-Software-Kriterien

3.4 Prozess- und Governance-Vorschlage

Issue Vorschlag
#293 Einfuhrung eines Tech Radar-Reifegradindikators (Adopt/Trial/Hold/Deprecate) nach dem ThoughtWorks-Modell, unter Nutzung von Zalandos Open-Source-Tech-Radar. Wurde das aktuelle binare Graduated/Sandbox-Modell ersetzen.
#428 Cloudogu: Tech-Inventur der bestehenden Bundes-/Landes-IT durchfuhren; transparenten Aufnahmeprozess schaffen; vermeiden, eine grossere CNCF Landscape zu werden; "Golden Path"-Referenzarchitekturen fur gangige Anwendungsfalle implementieren.
#487 D-Stack sollte Architecture Decision Records (ADRs) und Best Practices neben der Technologie-Landkarte enthalten.
#504 Einfuhrung eines RFC-Prozesses (Request for Comments) fur den D-Stack.
#296 Einen Technologie-Blog zur Landkarte fur Kommunikation und Kontext hinzufugen.
#285 OSBA: Von der Landkarten-Auflistung zu Use-Case-Dokumentation ubergehen, die zeigt, wie Technologien zusammenwirken.
#475 Landkarte sollte Erwartungen an die operative Realitat setzen -- Technologien ohne Deployment-/Test-/Monitoring-Kontext aufzulisten erzeugt ein falsches Gefuhl der Einsatzbereitschaft.

4. Implikationen fur unsere Analyse

4.1 Validierung

Das Community-Feedback validiert unsere Luckenanalyse nachdrucklich. Die am haufigsten von externen Stakeholdern angefragten Erganzungen (Keycloak, OpenStack/SCS, Prometheus/Grafana, Ansible, Helm, Matrix, Linux/OS-Schicht) sind alle in unserer FEHLEND-IN-LANDKARTE.md identifiziert.

Die ALASCA-FOCIS-Einreichung (#229) identifiziert unabhangig dieselbe strukturelle Lucke, die wir in Abschnitt 2.10 (Endpunktsicherheit und Betriebssysteme) dokumentiert haben: Der Stack listet Container- Orchestrierung, aber nicht die darunter liegende Betriebssystemschicht.

4.2 Lucken, die wir in Betracht ziehen sollten

Basierend auf Community-Feedback sollten folgende Bereiche fur unsere Analyse in Betracht gezogen werden:

Bereich Begruendung
Testframeworks (Unit, Integration, E2E, Last, Chaos) Die Landkarte listet Selenium, aber nichts anderes. Mehrere Issues (#475, #496) identifizieren dies. Tests sind ein DevSecOps-Grundpfeiler.
Virtualisierung / Hypervisoren (Proxmox, KVM/QEMU) Die IaaS-Schicht fehlt vollstandig. Issue #229 dokumentiert dies grundlich.
Container-Registries (Harbor, GitLab Registry) Munchner IT-Referat (#328) identifiziert dies. Registries sind fur die Container-Lieferkette unerlasslich.
Projektmanagement (OpenProject, Redmine) Issue #428 weist auf das Ende der Atlassian-Data-Center-Lizenzen als Souveranitatsdruck hin.
Zertifikatsmanagement (cert-manager) Mehrere Issues. Kritisch fur TLS-/PKI-Lebenszyklus.
Verteilter Speicher (Ceph) Grundlage fur OpenStack- und Kubernetes-Speicher.
Barrierefreiheits-Testwerkzeuge In #475 und unserer Compliance-Dokumentation identifiziert, aber nicht in der Luckenanalyse.
Souverane App-Distribution Issue #500 (F-Droid). GrapheneOS und LineageOS aus demselben Issue sind ausserhalb des Rahmens -- die meisten Behordenmitarbeiter konnen keine Custom-ROMs auf verwaltete Gerate flashen, und die Wahl des mobilen Betriebssystems ist keine Verantwortung des staatlichen Technologie-Stacks. F-Droid als App-Store-Alternative bleibt relevant.

4.3 Prozessbeobachtungen

  1. Issue-Triage ist minimal -- und das ist ein Widerspruch. Von 707 offenen Issues haben sehr wenige Labels oder Zuweisungen. Der D-Stack hat dieses Feedback aktiv eingeholt: Zwei offentliche Konsultationsrunden luden Entwickler, Behorden und Branchenverbande zur Mitarbeit ein. Die Beteiligungsseite ermutigt explizit zur Teilnahme. Das Ergebnis sind 707 Issues, die nachweislich nicht verarbeitet werden. Fehlermeldungen wie der "NQdrant"-Tippfehler (#77) stehen seit uber 5 Monaten offen. Fehlklassifizierungen wie PostgreSQL (#542) stehen seit uber 3 Monaten offen. Das private Landkarten- Repository (#24, #48, #99) wurde dreimal uber 5 Monate gemeldet, ohne dass es behoben wurde -- und die Antwort eines Teammitglieds ("funktioniert bei mir") deutet darauf hin, dass die Meldung nicht verstanden wurde. Feedback einzuholen und es dann nicht zu verarbeiten, ist schlimmer als gar nicht zu fragen: Es untergräbt das Vertrauen der Praktiker, auf die der D-Stack fur seine Legitimitat angewiesen ist. Wenn dem Team die Kapazitat zur Triage fehlt, sollte es dies offentlich kommunizieren und Erwartungen setzen, anstatt Issues stillschweigend auflaufen zu lassen.

  2. Das private Landkarten-Repository widerspricht den erklarten Prinzipien. Der D-Stack schreibt Open-Source-Praferenz und Transparenz vor, doch sein eigenes Landkarten-Tool ist nicht offentlich zuganglich.

  3. Der Konsultationsprozess ist issue-lastig. Das Feedbackformular generiert automatisch Issues, was ein Volumen erzeugt, das moglicherweise schwer zu verarbeiten ist. Mehrere Organisationen haben diese Sorge geaussert.

  4. Die LICENSE-Datei ist leer. Das d-stack-home-Repository hat eine leere LICENSE-Datei, was bedeutet, dass die Inhalte keine explizite Open-Source-Lizenz haben. Issue #749 fragt speziell nach der Logo-Lizenz.

  5. Die MPK-Frist 31. Marz 2026 steht unmittelbar bevor. Standards und Governance sollten bis zu diesem Datum festgelegt werden. Die Kriterien beschreiben sich selbst noch als "nur Orientierung" und sind nicht fur automatisierte Compliance-Bewertung geeignet.