Rejestr komponentów do budowy suwerennego stosu technologicznego. Każdy element weryfikowany pod względem licencji, SBOM, aktywności projektu, jurysdykcji EU i przenośności.
| Warstwa | Rekomendacja (OSS/EU) | Licencja | Uwagi / SBOM |
|---|---|---|---|
| SIEM/SOC | Wazuh, OpenSearch | AGPL-3.0 / SSPL (Elastic) | Wazuh — hostvany EU; SBOM dostępny; uptime 99.9%; detektywny baseline |
| CTI | OpenCTI, MISP | AGPL-3.0, GPL-3.0 | MISP — EU/PL wspierane; SBOM w repo; community-driven threat intel |
| Case Management | TheHive | AGPL-3.0 | TheHive 5.x; SBOM w GitHub releases; workflow automation; EU/PL support |
| IAM | Keycloak | Apache 2.0 | Red Hat; SBOM dostępny; federation (OIDC, SAML); post-kwantowe API-ready |
| Dokumenty | OnlyOffice, Nextcloud | AGPL-3.0 | OnlyOffice CE — self-hosted; SBOM; kolaboracja real-time; NAS-friendly |
| Repo/CI | Gitea, GitLab CE | MIT (Gitea), SSPL (GitLab) | Gitea — lekka, zero-dependency; SBOM; GitLab CE — pełny pipeline; EU flag |
| Monitoring | Prometheus, Grafana | AGPL-3.0 (Grafana), Apache 2.0 (Prom) | SBOM w repozytoriach; alerting; multi-cloud; EU deployment opcje |
| Vector DB | Qdrant, Weaviate | AGPL-3.0, BUSL-1.1 (opcja Apache) | Qdrant — EU infrastruktura; SBOM; RAG-ready; high-dimensional indexing |
| Baza danych | PostgreSQL | PostgreSQL License (permissive) | De facto standard; SBOM community-driven; ACID compliant; partycje, JSON |
| Message Queue | NATS, RabbitMQ | Apache 2.0 (NATS), MPL-2.0 (RabbitMQ) | NATS — lightweight, high-performance; RabbitMQ — enterprise-ready; oba z SBOM |
Preferuj: MIT, Apache 2.0, GPL-3.0, AGPL-3.0. Unikaj: SSPL dla core, proprietary backdoors, limitowane community clauses.
Wymóg: każdy komponent musi mieć jawnie dostępny SBOM w git/releases. Weryfikacja zależności co minimum na level 2 (direct deps + ich deps).
Baseline: minimum 4 commit/miesiąc (maintenance) lub backing korporacyjny (Red Hat, CNCF, itp). Dead projects = high-risk.
Preferuj: pierwotny host/repo w EU, albo aktywna EU-based community. Ci, którzy mogą uruchomić self-hosted bez USA-based cloud.
Wymóg: dockerizable, helm-ready lub standard deployable (binary). Unikaj vendor lock-in; cloud-agnostic architektura.
Lepsza: backing komercyjny (Red Hat, Canonical, itp) lub mocna community. Gwarancja bug bounty i patchy security.
Każdy komponent wchodzący w stos musi: