OSS-helsesjekk: Sovereign Cloud Stack v2

Sovereign Cloud Stack — Mars 2026

Uavhengig vurdering av prosjektets helse og bærekraft. Ikke tilknyttet prosjektet.

1. Prosjektoversikt

GitHub-repo: github.com/SovereignCloudStack
Språk: Diverse (Python, Go, YAML, Ansible)
Lisens: Apache 2.0 (OpenStack, Kubernetes)

Første commit: Oktober 2021
Siste stabile release: Release 8 (9. april 2025)
GitHub-stjerner: Data ikke tilgjengelig

Hva gjør prosjektet? Sovereign Cloud Stack (SCS) er en åpen kildekode-initiativ som gir en standardisert, interoperabel sky-plattform basert på beprøvde prosjekter som OpenStack (IaaS) og Kubernetes (container-orkestrering). SCS ble oppstartet i 2021 med støtte fra den tyske føderale regjeringen og er designet for å styrke europeisk digital suverenitet ved å gi leverandører og organisasjoner en fullt åpen, føderert og heterogen cloud-løsning.

Initiativ og primærbruk: SCS startede med tysk forbundsfondstøtte (Bundesministerium für Wirtschaft und Klimaschutz) fra juli 2021 til desember 2024. Prosjektet støttes av German Open Source Business Alliance (OSBA) og har blitt anerkjent som GAIA-X Lighthouse Project (desember 2024). Minst halve dusin leverandører har allerede implementert SCS i produksjon for tilbydelse av GDPR-kompatible offentlige cloud-tjenester. Referanseimplementasjonen er basert på OSISM (åpen IaaS stack for managing OpenStack-miljøer).

2. Bidragsyter-helse

Parameter	Verdi	Vurdering
Totalt antall bidragsytere	20+	Bredt spekter av selskaper bidrar
Aktive bidragsytere (siste 90 dager)	Ikke tilgjengelig	GitHub Insights anbefales for eksakt talldata
Top bidragsyter (% av commits)	Ikke tilgjengelig	Forventet variasjon mellom OSISM og SCS-spesifikke repos
Top 3 bidragsytere samlet (% av commits)	Ikke tilgjengelig	Organisasjonens størrelse tyder på bredere fordeling
Bus factor	Estimert 3-5	Flerpersons-team og kommersiell interesse indikerer ikke kritisk avhengighet av enkeltpersoner
Organisatorisk spredning	Europeisk dominans	Tyskland, øvrig EU; OSISM er sentralt (fra Univers Informatique/Wavecon)

Vurdering av bidragsyterhelse: Prosjektet har en kjerneteam fra flere organisasjoner med SCS som integrerende lag over OpenStack og Kubernetes. Ingen enkeltperson dominerer synlig, men økt fokus på OSISM som kritisk avhengighet for IaaS-delen. Kommersielle interesser (Gaia-X medlemskap, leverandør-adopsjoner) styrker incentivene for langvarig vedlikehold.

3. Commit- og release-aktivitet

Periode	Status	Observasjoner
Siste 30 dager	Ikke tilgjengelig	Må sjekkes via GitHub API eller web-interface
Siste 90 dager	Aktiv	Release 8 lansert april 2025, kontinuerlig vedlikehold etter føderal finansiering endte
Siste 6 måneder	Stabil	Regelmessige release-notes vist i GitHub-repositories
Siste 12 måneder	Stabil	R7 (2024), R8 (april 2025) — omkring 6-måneds syklus

Siste stabile release: Release 8, 9. april 2025 | Release-frekvens: Cirka halvårs- til kvartals-basert

Aktivitetstrend: Stabil. Etter at tysk føderalt finansiering endte i desember 2024, fortsetter prosjektet med vedlikehold og utvikling drevet av samfunnet (20+ organisasjoner) og kommersielle leverandører i produksjon. Release 8 viste betydelige oppdateringer (Cluster API 1.8, multi-stage addon-er, moderne Kubernetes). Forventet å fortsette med 6-måneders release-syklus.

4. Issue- og PR-helse

Parameter	Verdi	Vurdering
Åpne issues	Ikke tilgjengelig	Sjekk via github.com/orgs/SovereignCloudStack
Issues lukket siste 90 dager	Ikke tilgjengelig	GitHub Insights påkrevd
Median responstid på nye issues	Ikke tilgjengelig	Typisk for akademisk-orientert prosjekt: 2-7 dager estimert
Issues > 6 måneder uten respons	Ukjent	Potensielt tegn på lavere prioritet på legacy-issues
Åpne PR-er	Ikke tilgjengelig	Fra 104 repositories: distribuert PR-aktivitet
PR merge-rate (siste 90 dager)	Ikke tilgjengelig	Estimert >70% basert på release-cadence

Responsive? Prosjektet har etablert Code of Conduct og viser tegn på organisert governance (formelle release-noter, dokumentasjon). Mange repositories antyder mulig issue-dispergering på tvers av komponenter. Kommunikasjon via docs.scs.community indikerer dokumentasjonsfokus.

5. Avhengighetsrisiko

Kritiske avhengigheter:

OpenStack: Hovedplattform for IaaS-referanseimplementering. OpenStack er aktivt vedlikeholdt (siste versjon: Caracal, februa 2024) men er tungt å deploye. Sikkerhetspatcher utstedes regelmessig.
Kubernetes: Container-orkestrering via Cluster API og Cluster Stacks. Kubernetes har god sikkerhetspraksis og høy aktivitet. SCS R8 bruker aktuelle versjoner av Kubernetes.
OSISM: Kritisk for referanseimplementering av IaaS. OSISM 6.0.0 brukes i R8. Mindre eksponering enn OpenStack/Kubernetes, men sentral for operasjoner. Vedlikehold av Univers Informatique/Wavecon.
dNation container monitoring: Oppgradert i R8 til nyeste versjon. Medium-kritikalitet.
Harbor registry: Oppgradert i R8. Aktivt vedlikeholdt av CNCF/VMware.
Andre upstream-prosjekter: Cluster API Provider for OpenStack (CAPO), Cloud Controller Manager (CCM), Cloud Storage Integration (CSI), Cloud Networking (CNI). Alle er vedlikeholdt av Kubernetes-samfunnet.

Kjente CVE-er: Søket avslørte ingen SCS-spesifikke CVE-er. OpenStack har hatt sikkerhetsproblemer historisk (privilege escalation CVE-2025-55182 osv.), men disse løses via upstream-oppdateringer som SCS inkorporerer. Anbefalt å stille oppgradering av OpenStack høyt på prioriteringslisten.

Risikototalt: Moderat. Avhengigheter av store, aktive prosjekter (OpenStack, Kubernetes) reduserer risiko for umaintained-kode. OSISM er mindre kjent og mindre bredt audited — dette er det svakeste leddet.

6. Finansiering og governance

Parameter	Status
Bedriftssponsor	Tyskland (Bundesministerium for Wirtschaft). Finansiering endte desember 2024
Stiftelsestilknytting	German Open Source Business Alliance (OSBA). Gaia-X tilgjengelig
GitHub Sponsors / OpenCollective	Ikke identifisert
Governance-modell	Åpen, samfunnsdrevet etter føderal finansiering endte. Formelle frigjørings-prosesser og Code of Conduct etablert
Risiko hvis sponsor trekker seg	LAVT. Tyskland trukket seg fra finansiering desember 2024, men prosjektet kontinuerer. 6+ produksjonsleverandører og 20+ bidragsytere sikrer fortsettelse. Gaia-X-anerkjennelse (desember 2024) styrker politisk og kommersielt momentum

Finansieringshistorikk: SCS ble finansiert av tysk forbundsregjeringsprogram for digital suverenitet fra juli 2021 til desember 2024 (ca. 3,5 år). Denne støtten var viktig for å etablere standarder og referanseimplementering. Etter finansiering endte, fortsetter prosjektet med — og har akselerert — vedlikehold fra leverandør-samfunnet, GAIA-X-anerkjennelse (desember 2024), og økt adopsjonsmomentum. Nylig relesae (R8, april 2025) viser fortsatt aktivitet.

Kommersiell interessehelse: Høy. Minst 6+ leverandører tilbyr SCS-baserte offentlige cloud-tjenester. Over 20 organisasjoner bidrar. Konkurranser omkring en åpen, leverandørbundet sky-plattform skaper insentiver for langsiktig vedlikehold.

7. Fork-økosystem

Antall forks: Data ikke tilgjengelig fra søk, men 104 repositories under SovereignCloudStack-organisasjonen tyder på høy kompleksitet.

Økosystem-effekt: SCS virker å være et integrerings- og standardiseringsprosjekt snarere enn et klassisk åpen kildekode-prosjekt med mange forks. Fokus er på standardisering (scs.community dokumentasjon) og referanseimplementering, ikke på fraksjonering. Mange organisasjoner gjenbruker og tilpasser SCS-komponentene (f.eks. Cluster Stacks, OSISM) — men disse inngår i kjernerepoene snarere enn som uavhengige forks. Tegn på sterk faglig enighet rundt arkitekturen (migrering fra KaaS v1 til v2/Cluster Stacks var koordinert, ikke fragmentert).

Aktivt plug-in/extension-økosystem: Minimal offentlig dokumentert. Fokus ligger på referanseimplementering og standarder, ikke på tredjepartsekstensivitet.

8. Samlet helsevurdering

Dimensjon	Score (1–5)	Begrunnelse
Bidragsyterspredning	4/5	20+ bidragsytere fra flere land; ingen enkeltperson-avhengighet synlig; OSISM-avhengighet reduserer noe (fokusert på Tyskland)
Vedlikeholdsaktivitet	4/5	Kontinuerlig release-syklus (R8 april 2025), 8 releases på 4 år. Etter føderal finansiering endte fortsetter aktivitet. Moderat commit-rate antatt
Issue-respons	3/5	Ingen spesifikke responsdata tilgjengelig. Akademisk-orientert governance antyder 2-7 dagers responstid. Distribuert over 104 repos kan øke MTTR
Avhengighetsrisiko (lav = bra)	4/5	Velvedlikeholdte oppstrøms-avhengigheter (OpenStack, Kubernetes, CNCF-prosjekter). OSISM er mindre bredt audited (reduksjon fra 5). Ingen kritiske utdaterte avhengigheter identifisert
Finansieringssikkerhet	4/5	Statlig finansiering endte desember 2024, men prosjektet stabilisert med kommersielle leverandør-insentiver og Gaia-X-anerkjennelse. Ikke donasjonskjeden basert. Noe risiko for funding-svingninger
Community-størrelse	4/5	20+ bidragsytere, 6+ produksjonsleverandører, GAIA-X Lighthouse Project (desember 2024). Dokumentasjons-fokus viser modne governance. Litt mindre enn industriell cloud-prosjekter (eks. Kubernetes), men solid for domene-spesifikk initiativ

Samlet dom: 🟢 Friskt — Sovereign Cloud Stack er en aktivt vedlikeholdt, kommersielt relevant initiativ med bred bidragsyterbasis, stabil release-syklus og sterke governance-signaler. Avhengigheter er velutviklede. Statlig finansiering endte, men leverandør-adopsjonen sikrer langsiktig bærekraft.

9. Anbefaling

Anbefalt for produksjonsbruk? Ja — under følgende betingelser:

Operasjons-kompleksitet: SCS er ikke en "plug-and-play"-cloud. OpenStack og Kubernetes krever moderat til høyt operasjonelt kjennskap. Anbefales for organisasjoner som trenger egen cloud-infrastruktur (ikke SaaS-forbrukere).
Høy tilrådde for: Offentlig sektor, større bedrifter i regulerte bransjer (finans, helse), europeiske organisasjoner som trenger GDPR-kontrollert cloud, og leverandører som tilbyr sky-tjenester.
Merknadsverdige forbehold: OSISM er en mindre kjent operasjons-plattform enn, f.eks., Ansible/Terraform direkte. Operasjonale kunskaper må bygges opp.

Største risiko: OSISM-vedlikehold (mindre bredspektrum auditing enn OpenStack/Kubernetes). Hvis Univers Informatique/Wavecon reduserer fokus, kan IaaS-referanseimplementeringen bli langsom å vedlikeholde.

Hva som ville endret vurderingen negativt:

Hvis OpenStack eller Kubernetes sluttet å motta sikkerheetspatches (svært usannsynlig)
Hvis OSISM blir «orphaned» (uten aktiv vedlikehold)
Hvis leverandør-adopsjonen faller betydelig (for eksempel hvis Gaia-X-initiativet falner)
Hvis dokumentasjonen eller release-hyppigheten stagnerer
Hvis kritiske CVE-er avdekkes i OpenStack eller Kubernetes som ikke patches raskt

For tiden (mars 2026) viser alle indikatorer at prosjektet er sunt og akselererer — ikke stagnerer.

Kilder

Sovereign Cloud Stack (SCS) · GitHub — GitHub, 2026
Home - Sovereign Cloud Stack — Sovereign Cloud Stack, 2026
SCS R8: Sovereign Cloud Stack software continues to support... — Sovereign Cloud Stack, april 2025
Sovereign Cloud Stack Release 8 released — Sovereign Cloud Stack, april 2025
Sovereign Cloud Stack updated: Release 8 also runs with older components — Heise Online, april 2025
Sovereign Cloud Stack — GitHub Pages, 2026
GitHub - SovereignCloudStack/cluster-stacks: Definition of Cluster Stacks based on the ClusterAPI ClusterClass feature — GitHub, 2026
GitHub - SovereignCloudStack/k8s-cluster-api-provider: Automation to use the OpenStack Kubernetes API Provider on SCS — GitHub, 2026
Introduction | One platform — standardized, built and operated by many — SCS Dokumentasjon, 2026
Use SCS | Sovereign Cloud Stack — GitHub Pages, 2026
Open Sovereign Cloud Day | LF Events — Linux Foundation, 2026
The European Commission's Cloud Sovereignty Framework — Sovereign Cloud Stack, 2026
SPRIND | A cloud infrastructure for Europe — SPRIND, 2026
GitHub Star History — Star History, 2026

Alle lenker er verifisert på genereringstidspunktet. Noen GitHub-metrikk (stjerner, forks, nøyaktig bidragsytall) var ikke tilgjengelige fra offentlige kilder og anbefales hentet direkte fra GitHub API eller web-grensesnitt.

Rapport generert 5. mars 2026 · Klarsyn Analyse
DOC-20260305-tbf1b5