FUK - Strategische Gesamtbewertung & Kostenanalyse
Dieses Dokument bewertet das FUK-Softwareprojekt aus verschiedenen Blickwinkeln: Was kostet die Entwicklung, wie sicher ist die Software, wie abhängig ist man von einzelnen Personen oder Anbietern, und erfüllt das Projekt gesetzliche Anforderungen? Ziel ist es, Entscheidern eine fundierte Grundlage zu geben, um Stärken zu erkennen, Risiken einzuschätzen und konkrete Verbesserungen zu priorisieren. Die Analysen nutzen dafür etablierte, international anerkannte Methoden und Frameworks. Alle Ergebnisse beziehen sich auf den Stand vom 18. März 2026.
Was läuft gut
- Vollständige Datenhoheit — Alle Daten liegen unter eigener Kontrolle, 9 von 10 Komponenten ohne Anbieterbindung (Vendor Lock-in)
- ~25.700 €/Jahr Lizenzkosten eingespart durch konsequenten Einsatz von Open-Source-Software
- Stabile Upstream-Abhängigkeiten — Alle Kern-Technologien (Supabase, Vue.js, ThingsBoard, Caddy) werden aktiv gepflegt und haben große Communities
- Hohe Deployment-Frequenz — FUK-Info-dashboard mit 12,7 Commits/Woche und 0,5 Tagen Lead Time
Was kritisch ist
- Bus-Faktor 1 — Ein Entwickler trägt 58 % aller Commits über 14 Repos. Bei 7 von 10 Repos liegt sein Anteil bei 84–100 %
- Kein Incident-Response-Prozess — Es gibt keinen dokumentierten Ablauf für Sicherheitsvorfälle
Cost Estimation & Analysis
Das FUK-Dashboard allein hat einen Wiederbeschaffungswert von rund 4,6 Millionen Euro — so viel würde es kosten, die Software komplett neu zu beauftragen. Das Team hat diese Arbeit mit nur 4 Personen für ca. 1,9 Millionen Euro umgesetzt. Zusätzlich spart das Projekt durch den Einsatz kostenloser Open-Source-Software etwa 25.700 Euro pro Jahr an Lizenzgebühren, die sonst für kommerzielle Produkte anfallen würden.
COCOMO & ULOC & SLOC analysis
The Constructive Cost Model (COCOMO II) is a software cost estimation model that provides a systematic approach to estimating the effort, time, and cost required to develop software projects. More details can be found here.
Die Linux Foundation nutzt genau diesen Ansatz. Ihre Studie von 2024 bezifferte den Wert der in der EU genutzten Open-Source-Software auf 1 Billion Euro Wiederbeschaffungswert.
Results (FUK-Dashboard only)
| Language | Files | Lines | Blanks | Comments | Code | ULOC | Complexity |
|---|---|---|---|---|---|---|---|
| Vue | 71 | 28,953 | 3,238 | 1,724 | 23,991 | 11,592 | 3,119 |
| Markdown | 111 | 4,780 | 965 | 0 | 3,815 | 2,111 | 0 |
| JSON | 3 | 2,515 | 0 | 0 | 2,515 | 594 | 0 |
| JavaScript | 11 | 2,382 | 96 | 53 | 2,233 | 1,630 | 81 |
| R | 4 | 323 | 73 | 51 | 199 | 141 | 16 |
| Zsh | 3 | 152 | 19 | 3 | 130 | 88 | 31 |
| CSS | 1 | 218 | 29 | 67 | 122 | 137 | 0 |
| Julia | 1 | 95 | 13 | 9 | 73 | 73 | 2 |
| Python | 1 | 96 | 14 | 10 | 72 | 73 | 2 |
| Total | 206 | 39,514 | 4,447 | 1,917 | 33,150 | 15,976 | 3,251 |
| Metric | Wert |
|---|---|
| SLOC (Source Lines of Code) | 33,150 |
| ULOC (Unique Lines of Code) | 15,976 |
| Aufwand (Personenjahre) | 12,61 (151 PM) |
| Zeitplan (optimale Teamgröße) | 14,49 Monate (~10 Devs) |
| Wiederbeschaffungswert | €4,634,347 |
| Stundensatz / Jahresgehalt | €89/h (€153,080/Jahr) |
| Overhead-Faktor | 2,40 |
Using scc for COCOMO II estimation
scc --cocomo-project-type semi-detached --avg-wage 153080 --currency-symbol '€' \
--exclude-dir node_modules,.vitepress/cache,.vitepress/dist,en \
-x svg,csv,yaml,yml,txt --not-match '(LICENSE|license)' \
--sloccount-format --ulocHinweis:
--avg-wage 153080entspricht €89/Stunde × 1.720 Arbeitsstunden/Jahr.
Adjusted for actual team size
Team: 4 developers · Avg. rate: €89/h (≈ €153,080/year)
| Metric | COCOMO estimate | Actual (4 developers) |
|---|---|---|
| Effort | 12.61 person-years | 12.61 person-years |
| Schedule | 14.49 months | ~37.83 months (3.15 years) |
| Cost | €4,634,347 | €1,928,808 (4 × €153,080 × 3.15y) |
Wiederbeschaffungswert: Müsste man das FUK-Dashboard (33.150 Codezeilen) komplett von Grund auf neu entwickeln lassen, würde das nach dem Industriestandard-Modell €4,63 Mio. kosten — bei marktüblichen Stundensätzen (€89/h) und einem Overhead-Faktor von 2,4 (Büro, Management, Infrastruktur, etc.).
Ideal vs. Real:
COCOMO schlägt ~10 Entwickler für ~14 Monate vor Mit dem tatsächlichen 4er-Team dauert dieselbe Arbeit stattdessen ~3,15 Jahre, kostet aber "nur" €1,93 Mio. (reines Gehalt, ohne Overhead)
Total Cost of Ownership (TCO) Analysis
Total Cost of Ownership (TCO) is a financial estimate that helps organizations understand the direct and indirect costs associated with owning and operating a software system. More details can be found here.
| Funktion | FUK (Open Source) | Proprietäre Alternative | Jährl. Lizenzkosten proprietär |
|---|---|---|---|
| Datenbank + API + Auth | Supabase (self-hosted) | Firebase Blaze + Auth0 | ~3.500 € |
| IoT-Plattform | ThingsBoard CE | ThingsBoard Cloud Pilot (100 Devices) | ~1.800 € |
| Webseite + CMS | VitePress + Vue.js | Contentful Lite + Netlify Pro | ~4.500 € |
| Karten | MapLibre GL JS | Mapbox GL JS (50k Loads/Mo) | ~0 € |
| Diagramme | Apache ECharts | Highcharts Internal (5 Devs) | ~925 € |
| Mobile App + Sync | PWA + PowerSync | Ionic Enterprise + Couchbase Mobile | ~8.000 € |
| Statistische API | R + Plumber | IBM SPSS Statistics (1 Seat) | ~1.404 € |
| Reverse Proxy + TLS | Caddy | NGINX Plus / F5 (1 Instance) | ~2.500 € |
| Container-Orchestrierung | Docker Compose | Amazon EKS (1 Cluster) | ~810 € |
| Versionskontrolle | Git (self-hosted) | GitHub Enterprise (5 Seats) | ~1.260 € |
| Summe | ~25.699 €/Jahr |
Durch den konsequenten Einsatz von Open-Source-Software spart das FUK-Projekt jährlich etwa 25.700 Euro an Lizenzkosten, die sonst für kommerzielle Produkte anfallen würden.
Qualitative Bewertung
Die qualitative Bewertung ergänzt die quantitativen Metriken um strategische Wertdimensionen, die für Entscheider relevant sind. Sie orientiert sich an etablierten Frameworks: Sovereign Tech Fund, OpenChain ISO 5230, SLSA und den Anforderungen des EU Cyber Resilience Act (CRA).
Digitale Souveränität & Vendor Independence
Bewertung der Unabhängigkeit von proprietären Anbietern und der Portabilität jeder Kernkomponente.
| Komponente | OSS-Lösung | Vendor Lock-in | Wechselaufwand | Datenhoheit |
|---|---|---|---|---|
| Datenbank + API + Auth | Supabase (self-hosted) | 🟢 Kein | Mittel | 🟢 Vollständig |
| IoT-Plattform | ThingsBoard CE | 🟢 Kein | Hoch | 🟢 Vollständig |
| Webseite + CMS | VitePress + Vue.js | 🟢 Kein | Gering | 🟢 Vollständig |
| Karten | MapLibre GL JS | 🟢 Kein | Gering | 🟢 Vollständig |
| Diagramme | Apache ECharts | 🟢 Kein | Gering | 🟢 Vollständig |
| Mobile App + Sync | PWA + PowerSync | 🟡 Gering | Mittel | 🟢 Vollständig |
| Statistische API | R + Plumber | 🟢 Kein | Hoch | 🟢 Vollständig |
| Reverse Proxy + TLS | Caddy | 🟢 Kein | Gering | 🟢 Vollständig |
| Container | Docker Compose | 🟢 Kein | Gering | 🟢 Vollständig |
| Versionskontrolle | GitLab (self-hosted) | 🟢 Kein | Gering | 🟢 Vollständig |
Ergebnis: 9 von 10 Komponenten haben kein Vendor Lock-in. Alle Daten verbleiben vollständig unter eigener Kontrolle. Die einzige leichte Abhängigkeit besteht bei PowerSync (proprietäres Sync-Protokoll), das jedoch durch Alternativen (z. B. CouchDB Sync) ersetzbar ist.
Upstream-Dependency Health
Bewertung der Gesundheit und Nachhaltigkeit der zentralen OSS-Abhängigkeiten, auf denen FUK aufbaut.
| Abhängigkeit | Stars | Letzte Release | Release-Frequenz | Contributors | Bewertung |
|---|---|---|---|---|---|
| Supabase | ~78.000 | aktiv | Wöchentlich | ~1.200 | 🟢 Hoch |
| ThingsBoard CE | ~18.000 | aktiv | Monatlich | ~300 | 🟢 Hoch |
| VitePress | ~13.000 | aktiv | Wöchentlich | ~500 | 🟢 Hoch |
| Vue.js | ~208.000 | aktiv | Wöchentlich | ~400 | 🟢 Hoch |
| MapLibre GL JS | ~7.000 | aktiv | Monatlich | ~300 | 🟢 Hoch |
| Apache ECharts | ~62.000 | aktiv | Monatlich | ~200 | 🟢 Hoch |
| PowerSync | ~2.000 | aktiv | Zweiwöchentlich | ~20 | 🟡 Mittel |
| R / Plumber | ~1.500 | aktiv | Quartalsweise | ~50 | 🟡 Mittel |
| Caddy | ~60.000 | aktiv | Monatlich | ~500 | 🟢 Hoch |
Ergebnis: Alle Kern-Abhängigkeiten werden aktiv gepflegt. 7 von 9 Projekten haben eine hohe Community-Aktivität. PowerSync und Plumber haben kleinere Communities, sind aber stabil und funktional ausgereift.
Regulatorische Compliance
EU Cyber Resilience Act (CRA) Readiness
Der EU CRA tritt ab 2027 in Kraft und betrifft Software mit digitalen Elementen. Open-Source-Projekte im nicht-kommerziellen Kontext sind weitgehend ausgenommen, müssen aber bei behördlichem Einsatz grundlegende Sorgfaltspflichten erfüllen.
| Anforderung | Status | Bemerkung |
|---|---|---|
| Vulnerability Handling (CVE-Monitoring) | 🟢 Erfüllt | Trivy-Scans implementiert (siehe Security Analysis) |
| SBOM (Software Bill of Materials) | 🟢 Erfüllt | CycloneDX v1.5 SBOMs generiert für alle Repos (siehe SBOM-Ergebnisse) |
| Sicherheitsupdates dokumentiert | 🟡 Teilweise | npm audit durchgeführt, kein formaler Patch-Prozess |
| Incident Response Prozess | 🔴 Fehlt | Kein dokumentierter Prozess für Sicherheitsvorfälle |
| Secure Development Lifecycle | 🟡 Teilweise | CI/CD vorhanden, kein formales SDLC-Framework |
SBOM-Ergebnisse (2026-03-18)
Generiert mit CycloneDX Generator v12.1.2, Spec-Version 1.5.
npx @cyclonedx/cdxgen -o sbom.json --spec-version 1.5| Repository | Format | Spec | Komponenten | Status |
|---|---|---|---|---|
| FUK-Info-dashboard | CycloneDX | 1.5 | 408 | ✅ |
| FUK-ICP-Forest-Server | CycloneDX | 1.5 | 30 | ✅ |
| FUK-R | CycloneDX | 1.5 | 15 | ✅ |
| FUK-Thingsboard-PWA | CycloneDX | 1.5 | 628 | ✅ |
| FUK-TB-api-functions | CycloneDX | 1.5 | 6 | ✅ |
| FUK-migration | — | — | — | ⚠️ Übersprungen (node_modules fehlt) |
| FUB-DB-LOCAL | CycloneDX | 1.5 | 84 | ✅ |
| capacitor/wze-app | CycloneDX | 1.5 | 1.341 | ✅ |
| Gesamt | 2.512 |
Hinweis: Die SBOMs liegen als
sbom.jsonim jeweiligen Repo-Root. Für CI/CD-Integration empfiehlt sich die Generierung als Pipeline-Step mit Artefakt-Upload.
OpenChain ISO 5230 (Lizenz-Compliance)
OpenChain ISO 5230 ist der internationale Standard für OSS-Lizenz-Compliance-Management.
| Anforderung | Status | Bemerkung |
|---|---|---|
| Lizenzidentifikation aller Pakete | 🟢 Erfüllt | npm-Lizenz-Analyse durchgeführt (siehe License Compliance) |
| Einheitliche Projektlizenz | 🟡 Teilweise | 3 Repos ohne Lizenz, 3 mit MIT/ISC-Mismatch |
| Compliance-Artefakte (NOTICE-Datei) | 🔴 Fehlt | Keine NOTICE-Dateien mit Drittanbieter-Attributionen |
| Dokumentierter Compliance-Prozess | 🔴 Fehlt | Kein formaler Prozess für Lizenzprüfung neuer Abhängigkeiten |
Supply-Chain-Sicherheit (SLSA)
SLSA (Supply-chain Levels for Software Artifacts) definiert Reifegrade für die Absicherung der Software-Lieferkette.
| SLSA Level | Anforderung | Status | Bemerkung |
|---|---|---|---|
| Level 1 | Dokumentierter Build-Prozess | 🟢 Erfüllt | Docker Compose + CI/CD Pipeline vorhanden |
| Level 2 | Versionskontrolle + automatisierter Build | 🟢 Erfüllt | Git + automatisierte Deployments |
| Level 3 | Gehärtete Build-Plattform | 🔴 Nicht erfüllt | Keine isolierte/gehärtete Build-Umgebung |
| Level 4 | Zwei-Personen-Review, hermetische Builds | 🔴 Nicht erfüllt | Kein verpflichtendes Code-Review |
Aktueller SLSA-Level: 2 — Empfehlung: Branch Protection mit Review-Pflicht einführen, um Level 3 anzustreben.
Strategische Gesamtbewertung
| Dimension | Bewertung | Begründung |
|---|---|---|
| Digitale Souveränität | 🟢 Hoch | 100 % Datenhoheit, 9/10 Komponenten ohne Vendor Lock-in |
| Wirtschaftlicher Mehrwert | 🟢 Hoch | ~25.700 €/Jahr eingesparte Lizenzkosten, Wiederbeschaffungswert €4,63 Mio. (COCOMO) |
| Upstream-Stabilität | 🟢 Hoch | Alle Kern-Abhängigkeiten aktiv gepflegt, große Communities |
| Sicherheitsreife | 🟡 Mittel | Vulnerability-Scanning + SBOM vorhanden, Incident Response fehlt noch |
| Lizenz-Compliance | 🟡 Mittel | Grundlegende Analyse vorhanden, aber Lücken bei 6 von 10 Repos |
| Supply-Chain-Sicherheit | 🟡 Mittel | SLSA Level 2, kein verpflichtendes Code-Review |
| Personelle Nachhaltigkeit | 🔴 Kritisch | Bus-Faktor 1 — ein Entwickler trägt 58 % aller Commits über 14 Repos |
| Regulatorische Zukunftssicherheit | 🟡 Mittel | CRA-Grundlagen teilweise erfüllt, SBOM vorhanden, formale Prozesse fehlen |
Health & Sustainability Analysis
Der Bus-Faktor des Gesamtprojekts liegt bei 1 – Gerrit Balindt ist der zentrale Entwickler mit 58 % aller Commits über 14 von 16 aktiven Repos. Das FUK-Info-dashboard (Kern-Webanwendung) hat mit 8 Autoren und 42 % Top-Anteil die gesündeste Verteilung.
CHAOSS Analysis
CHAOSS (Community Health Analytics Open Source Software) is a project under the Linux Foundation that focuses on analyze the health and sustainability of open source software communities. More details can be found here.
Ergebnisse (2026-03-18)
Repository | Commits | Dev | Erster | Letzter
-------------------------------|---------|-----|--------------|-------------
FUK-Info-dashboard | 537 | 8 | 2025-02-25 | 2026-03-17
FUK-ICP-Forest-Server | 95 | 3 | 2025-02-06 | 2026-01-28
FUK-R | 76 | 2 | 2025-04-20 | 2026-02-18
FUK-Thingsboard-PWA | 44 | 1 | 2025-01-29 | 2026-01-17
FUK-TB-api-functions | 61 | 3 | 2024-09-18 | 2025-04-11
FUK-migration | 11 | 1 | 2024-12-05 | 2025-09-23
FUB-DB-LOCAL | 26 | 3 | 2024-06-03 | 2025-08-03
fuk-proxy | 22 | 1 | 2025-08-03 | 2026-03-05
sync-server | 4 | 1 | 2026-03-05 | 2026-03-05
capacitor/wze-app | 14 | 1 | 2026-02-27 | 2026-03-13Zusammenfassung: 10 Repositories · 890 Commits · 9 einzigartige Autoren
Top-Autoren (nach Commits)
| Autor | Commits |
|---|---|
| Gerrit Balindt | 513 |
| Linus Lissel | 178 |
| Rainerwald | 105 |
| Ralph Beitz | 40 |
| Rainer Hentschel | 32 |
| b-lack | 13 |
| Torsten Wiebke | 6 |
| Gerrit | 3 |
Commit-Frequenz (letzte 12 Monate)
| Monat | Commits |
|---|---|
| 2025-06 | 62 |
| 2025-07 | 50 |
| 2025-08 | 87 |
| 2025-09 | 25 |
| 2025-10 | 64 |
| 2025-11 | 72 |
| 2025-12 | 95 |
| 2026-01 | 76 |
| 2026-02 | 76 |
| 2026-03 | 41 |
Bus-Faktor pro Repository
| Repository | Top-Contributor | Anteil |
|---|---|---|
| FUK-Info-dashboard | Gerrit Balindt | 42% |
| FUK-ICP-Forest-Server | Gerrit Balindt | 91% |
| FUK-R | Gerrit Balindt | 93% |
| FUK-Thingsboard-PWA | Gerrit Balindt | 100% |
| FUK-TB-api-functions | Rainerwald | 75% |
| FUK-migration | Gerrit Balindt | 100% |
| FUB-DB-LOCAL | Gerrit Balindt | 84% |
| fuk-proxy | Gerrit Balindt | 100% |
| sync-server | Gerrit Balindt | 100% |
| capacitor/wze-app | Gerrit Balindt | 100% |
Effectiveness
DORA (DevOps Research and Assessment) metrics are a set of key performance indicators (KPIs) that help organizations measure the effectiveness of their software delivery processes. These metrics focus on four main areas: deployment frequency, lead time for changes, change failure rate, and mean time to recovery (MTTR). More details can be found here.
Ergebnisse (2026-03-18)
Deployment Frequency — Das Projekt verwendet keine formalen Release-Tags oder Versioning (Ausnahme: capacitor/wze-app mit 4 Tags, aktuell v1.0.3). Deployments erfolgen über Continuous Deployment direkt aus dem main-Branch.
| Repository | Releases/Tags | Commits/Woche (6 Mo) | Bewertung |
|---|---|---|---|
| FUK-Info-dashboard | 0 | 12.7 | High |
| FUK-ICP-Forest-Server | 0 | 2.0 | Medium |
| FUK-R | 0 | 0.7 | Low |
| FUK-Thingsboard-PWA | 0 | 0.4 | Low |
| FUK-TB-api-functions | 0 | 0.0 | Inactive |
| FUK-migration | 0 | 0.0 | Inactive |
| FUB-DB-LOCAL | 0 | 0.0 | Inactive |
| fuk-proxy | 0 | 0.2 | Low |
| sync-server | 0 | 0.2 | Low |
| capacitor/wze-app | 4 | 0.5 | Low |
Lead Time for Changes (letzte 6 Monate, seit 2025-09-18)
| Repository | Commits | Zeitraum | ∅ Tage/Commit |
|---|---|---|---|
| FUK-Info-dashboard | 330 | 2025-09-23 → 2026-03-17 | 0.5 |
| FUK-ICP-Forest-Server | 52 | 2025-10-07 → 2026-01-28 | 2.2 |
| FUK-R | 17 | 2025-10-12 → 2026-02-18 | 7.8 |
| FUK-Thingsboard-PWA | 11 | 2026-01-13 → 2026-01-17 | 0.4 |
| capacitor/wze-app | 14 | 2026-02-27 → 2026-03-13 | 1.1 |
| fuk-proxy | 6 | 2025-10-29 → 2026-03-05 | 25.6 |
| sync-server | 4 | 2026-03-05 (1 Tag) | — |
| FUK-migration | 1 | 2025-09-23 (1 Commit) | — |
| FUK-TB-api-functions | 0 | — | — |
| FUB-DB-LOCAL | 0 | — | — |
Change Failure Rate (geschätzt über Fix/Revert-Commits, letzte 6 Monate)
| Repository | Commits | Merges | Fix/Revert | Failure Rate |
|---|---|---|---|---|
| FUK-Info-dashboard | 330 | 52 | 23 | 7.0 % |
| FUK-ICP-Forest-Server | 52 | 13 | 5 | 9.6 % |
| FUK-Thingsboard-PWA | 11 | 0 | 2 | 18.2 % |
| capacitor/wze-app | 14 | 1 | 1 | 7.1 % |
| FUK-R | 17 | 1 | 0 | 0.0 % |
| fuk-proxy | 6 | 0 | 0 | 0.0 % |
Hinweis: Die Change Failure Rate basiert auf einer Heuristik (Commits mit
fix,revert,hotfixim Betreff). MTTR kann nicht zuverlässig aus Git-Daten allein abgeleitet werden und erfordert Monitoring-/Incident-Daten.
License Compliance
License compliance is the process of ensuring that software projects adhere to the terms and conditions of the licenses under which they are distributed. This involves identifying and managing the various open source licenses used in a project, ensuring that all dependencies are properly licensed, and that the project itself is compliant with its chosen license. More details can be found here.
Ergebnisse (2026-03-18)
Projektlizenzen
| Repository | LICENSE-Datei | package.json | Status |
|---|---|---|---|
| FUK-Info-dashboard | MIT | — | ✅ |
| FUK-ICP-Forest-Server | MIT | ISC | ⚠️ Mismatch |
| FUK-R | MIT | ISC | ⚠️ Mismatch |
| FUK-Thingsboard-PWA | MIT | — | ✅ |
| FUK-TB-api-functions | MIT | ISC | ⚠️ Mismatch |
| FUK-migration | ❌ fehlt | ISC | ⚠️ Keine LICENSE-Datei |
| FUB-DB-LOCAL | MIT | — | ✅ |
| fuk-proxy | ❌ fehlt | — | ❌ Keine Lizenz |
| sync-server | ❌ fehlt | — | ❌ Keine Lizenz |
| capacitor/wze-app | ❌ fehlt | — | ❌ Keine Lizenz |
Handlungsbedarf: 3 Repos ohne jegliche Lizenz (fuk-proxy, sync-server, capacitor/wze-app), 3 Repos mit Mismatch zwischen LICENSE-Datei (MIT) und package.json (ISC).
Abhängigkeits-Lizenzen (npm)
| Repository | MIT | ISC | Apache-2.0 | BSD-* | Sonstige | UNLICENSED |
|---|---|---|---|---|---|---|
| FUK-Info-dashboard | 288 | 20 | 7 | 13 | 6 | 0 |
| FUK-ICP-Forest-Server | 24 | 4 | 0 | 1 | 2 | 0 |
| FUK-R | 12 | 3 | 0 | 1 | 0 | 0 |
| FUK-Thingsboard-PWA | 468 | 28 | 49 | 11 | 11 | 1 |
| FUK-TB-api-functions | 6 | 1 | 0 | 0 | 0 | 0 |
| FUK-migration | 94 | 7 | 4 | 4 | 3 | 0 |
| capacitor/wze-app | 841 | 97 | 33 | 48 | 32 | 1 |
Hinweis:
UNLICENSEDin FUK-Thingsboard-PWA und capacitor/wze-app sollte geprüft werden — es handelt sich möglicherweise um eigene Pakete ohne explizite Lizenz.
Dependency Vulnerabilities (npm audit)
| Repository | Gesamt | Low | Moderate | High | Critical |
|---|---|---|---|---|---|
| FUK-Info-dashboard | 5 | 0 | 3 | 2 | 0 |
| FUK-ICP-Forest-Server | 0 | 0 | 0 | 0 | 0 |
| FUK-R | 0 | 0 | 0 | 0 | 0 |
| FUK-Thingsboard-PWA | 19 | 2 | 6 | 11 | 0 |
| FUK-TB-api-functions | 0 | 0 | 0 | 0 | 0 |
| FUK-migration | 4 | 0 | 0 | 3 | 1 |
| capacitor/wze-app | 30 | 3 | 8 | 19 | 0 |
Handlungsbedarf:
FUK-migrationhat 1 kritische Schwachstelle.capacitor/wze-app(30) undFUK-Thingsboard-PWA(19) haben die meisten Schwachstellen und sollten mitnpm audit fixbereinigt werden.
Security Analysis
Security analysis using Trivy (v0.69.3) — an open-source vulnerability scanner by Aqua Security that detects vulnerabilities in dependencies (SCA) and misconfigurations in Dockerfiles and IaC files. More details can be found here.
Dependency Vulnerabilities (Trivy)
Ergebnisse (2026-03-18)
Scan: trivy fs --severity HIGH,CRITICAL --scanners vuln <repo>
| Repository | Target | HIGH | CRITICAL | Gesamt | Status |
|---|---|---|---|---|---|
| FUK-Info-dashboard | package-lock.json | 0 | 0 | 0 | ✅ |
| FUK-ICP-Forest-Server | package-lock.json | 0 | 0 | 0 | ✅ |
| FUK-R | package-lock.json | 0 | 0 | 0 | ✅ |
| FUK-Thingsboard-PWA | package-lock.json | 11 | 0 | 11 | ⚠️ |
| FUK-TB-api-functions | package-lock.json | 0 | 0 | 0 | ✅ |
| FUK-migration | package-lock.json | 8 | 1 | 9 | ❌ |
| FUB-DB-LOCAL | FUC-ftp-server/package-lock.json | 0 | 1 | 1 | ❌ |
| fuk-proxy | — | — | — | — | n/a |
| sync-server | — | — | — | — | n/a |
| capacitor/wze-app | package-lock.json | 0 | 0 | 0 | ✅ |
Kritische Schwachstellen (Details)
FUK-migration — 1 CRITICAL, 8 HIGH
| Library | CVE | Severity | Version | Fixed | Beschreibung |
|---|---|---|---|---|---|
| form-data | CVE-2025-7783 | CRITICAL | 4.0.1 | 4.0.4 | Unsafe random function in form-data |
| axios | CVE-2025-27152 | HIGH | 1.7.9 | 1.8.2 | SSRF and Credential Leakage via Absolute URL |
| axios | CVE-2025-58754 | HIGH | 1.7.9 | 1.12.0 | DoS via lack of data size check |
| axios | CVE-2026-25639 | HIGH | 1.7.9 | 1.13.5 | DoS via __proto__ key in mergeConfig |
| jws | CVE-2025-65945 | HIGH | 3.2.2 | 3.2.3 | Improper signature verification in HS256 |
| tar-fs | CVE-2024-12905 | HIGH | 2.1.1 | 2.1.2 | Path traversal via malicious tar file |
| tar-fs | CVE-2025-48387 | HIGH | 2.1.1 | 2.1.3 | Extract can write outside target directory |
FUB-DB-LOCAL (FUC-ftp-server) — 1 CRITICAL
| Library | CVE | Severity | Version | Fixed | Beschreibung |
|---|---|---|---|---|---|
| basic-ftp | CVE-2026-27699 | CRITICAL | 5.0.5 | 5.2.0 | File overwrite due to path traversal |
FUK-Thingsboard-PWA — 11 HIGH
| Library | CVE | Version | Fixed | Beschreibung |
|---|---|---|---|---|
| @isaacs/brace-expansion | CVE-2026-25547 | 5.0.0 | 5.0.1 | DoS via unbounded brace range expansion |
| immutable | CVE-2026-29063 | 5.0.3 | 5.1.5 | Persistent Immutable data structures vulnerability |
| minimatch (×6) | CVE-2026-26996, CVE-2026-27903, CVE-2026-27904 | 5.1.6 / 10.1.1 | 10.2.3 | DoS via crafted glob patterns / catastrophic backtracking |
| rollup (×2) | CVE-2026-27606 | 2.79.2 / 4.32.1 | 4.59.0 | RCE via Path Traversal |
| serialize-javascript | GHSA-5c6j-r48x-rmvq | 6.0.2 | 7.0.3 | RCE via RegExp.flags |
Dockerfile & IaC Misconfigurations (Trivy)
Scan: trivy config --severity HIGH,CRITICAL <file>
| Datei | Repo | HIGH | CRITICAL | Befunde |
|---|---|---|---|---|
| Dockerfile | FUB-DB-LOCAL | 1 | 0 | DS-0002: Container läuft als root |
| Dockerfile | FUK-R | 1 | 0 | DS-0002: Container läuft als root |
| cron/Dockerfile | FUK-R | 3 | 0 | DS-0002: root user · DS-0029: apt-get ohne --no-install-recommends (×2) |
Handlungsbedarf:
- 2 kritische Dependency-Schwachstellen in FUK-migration (
form-data) und FUB-DB-LOCAL (basic-ftp) — Updates dringend empfohlen- 11 HIGH-Schwachstellen in FUK-Thingsboard-PWA (minimatch, rollup, serialize-javascript) —
npm audit fixoder manuelle Updates- Alle 3 Dockerfiles laufen als
root—USER-Anweisung mit Non-Root-Benutzer ergänzen