Governance

RFC Tracker

Jede wesentliche Änderung an WAF++ beginnt mit einem öffentlichen Request for Comments. Diese Seite verfolgt jeden RFC — von der Entwurfsphase bis zur Umsetzung — damit Entscheidungen immer nachvollziehbar sind.

GitHub Discussions → Governance-Modell →

RFCs gesamt

Offen zur Prüfung

Entwurf

Umgesetzt

Abgelehnt

RFC-0001 Initiale 7-Säulen-Framework-Struktur

implemented framework

Legt das grundlegende Sieben-Säulen-Modell als Basis von WAF++ fest: Sicherheit, Zuverlässigkeit, Performance-Effizienz, Kostenoptimierung, Operationelle Exzellenz, Nachhaltigkeit und Developer Experience.

Autor: sascha-lewandowski Eröffnet: 2025-12-05Entschieden: 2025-12-05Umgesetzt: 2025-12-05PR: #1

RFC-0002 Öffentliche Roadmap 2026 und Meilensteinplanung

implemented governance

Definiert die öffentliche Roadmap für 2026 mit Q1–Q4-Meilensteinen, v1.0-Ziel, Pilotprogramm und Foundation-Readiness-Zielen.

Autor: sascha-lewandowski Eröffnet: 2025-12-06Entschieden: 2025-12-06Umgesetzt: 2025-12-06PR: #2

RFC-0003 Pillar-Beschreibungen und Kernfragen — alle 7 Säulen

implemented framework

Fügt die initiale Inhaltsdefinition für jede der 7 Säulen hinzu: Scope, Begründung und Kernbewertungsfragen. Bildet die Basis für die Controls Library.

Autor: sascha-lewandowski Eröffnet: 2025-12-07Entschieden: 2025-12-07Umgesetzt: 2025-12-07PR: #3

RFC-0004 Dokumentationsmigration zu AsciiDoc / Antora

implemented docs

Migriert die gesamte Framework-Dokumentation von Markdown nach AsciiDoc und etabliert Antora als Dokumentations-Build-System mit Komponenten-Versionierung (v1.0).

Autor: t1murl Eröffnet: 2026-02-20Entschieden: 2026-02-26Umgesetzt: 2026-02-26PR: #4

RFC-0005 Contribution-Metadaten: CONTRIBUTING, CODE_OF_CONDUCT, SECURITY

implemented governance

Fügt dem Framework-Repository die Standard-Open-Source-Health-Dateien hinzu: Beitragsrichtlinien, Verhaltenskodex (basierend auf Contributor Covenant v2.1) und Sicherheitsrichtlinie.

Autor: sascha-lewandowski Eröffnet: 2026-02-06Entschieden: 2026-02-08Umgesetzt: 2026-02-08PR: #6

RFC-0006 Sovereign-Pillar (Säule 7) — initiale Controls

implemented framework

Führt den Sovereign-Pillar als 7. Säule von WAF++ ein — Datensouveränität, Compliance und jurisdiktionale Kontrolle. Liefert 10 initiale Controls (WAF-SOV-010 bis WAF-SOV-100).

Autor: sascha-lewandowski Eröffnet: 2026-02-14Entschieden: 2026-03-04Umgesetzt: 2026-03-04

RFC-0008 Controls-Schema v1 — maschinenlesbare YAML-Spezifikation

open tooling

Definiert ein formales JSON-Schema für WAF++-Controls-YAML-Dateien, das konsistente Validierung, Tool-Integration und die Nutzung der Controls Library durch Dritte ermöglicht.

Autor: sascha-lewandowski Eröffnet: 2026-03-10Diskussion: GitHub →

RFC-0009 PASS-Scoring-Modell — formale Spezifikation für v1.0

open framework

Formalisiert das PASS-Scoring-Modell als normative Spezifikation: Tier-Definitionen, Berechnungsregeln, Aggregationslogik und Versionierungsvertrag. Voraussetzung für die v1.0-Stabilitätsgarantie.

Autor: t1murl Eröffnet: 2026-03-08Diskussion: GitHub →

RFC-0010 Assessment-Tooling — CLI und Scorecard-Ansatz

draft tooling

Definiert den Ansatz für das offizielle WAF++-Assessment-Tooling: ein CLI-Tool und/oder Web-Scorecard, das die Controls Library nutzt und einen PASS-Score-Bericht erzeugt.

Autor: sascha-lewandowski Eröffnet: 2026-03-11

RFC-0011 CI/CD-Pipeline für das Framework-Repository

draft tooling

Führt automatisierte Checks für das Framework-Repository ein: Antora-Build-Validierung, Controls-YAML-Linting und Link-Prüfung bei jedem Pull Request.

Autor: t1murl Eröffnet: 2026-03-11

RFC-0008 Controls-Schema v1 — maschinenlesbare YAML-Spezifikation

open tooling

Definiert ein formales JSON-Schema für WAF++-Controls-YAML-Dateien, das konsistente Validierung, Tool-Integration und die Nutzung der Controls Library durch Dritte ermöglicht.

Autor: sascha-lewandowski Eröffnet: 2026-03-10Diskussion: GitHub →

RFC-0009 PASS-Scoring-Modell — formale Spezifikation für v1.0

open framework

Formalisiert das PASS-Scoring-Modell als normative Spezifikation: Tier-Definitionen, Berechnungsregeln, Aggregationslogik und Versionierungsvertrag. Voraussetzung für die v1.0-Stabilitätsgarantie.

Autor: t1murl Eröffnet: 2026-03-08Diskussion: GitHub →

RFC-0010 Assessment-Tooling — CLI und Scorecard-Ansatz

draft tooling

Definiert den Ansatz für das offizielle WAF++-Assessment-Tooling: ein CLI-Tool und/oder Web-Scorecard, das die Controls Library nutzt und einen PASS-Score-Bericht erzeugt.

Autor: sascha-lewandowski Eröffnet: 2026-03-11

RFC-0011 CI/CD-Pipeline für das Framework-Repository

draft tooling

Führt automatisierte Checks für das Framework-Repository ein: Antora-Build-Validierung, Controls-YAML-Linting und Link-Prüfung bei jedem Pull Request.

Autor: t1murl Eröffnet: 2026-03-11

RFC-0001 Initiale 7-Säulen-Framework-Struktur

implemented framework

Autor: sascha-lewandowski Eröffnet: 2025-12-05Entschieden: 2025-12-05Umgesetzt: 2025-12-05PR: #1

RFC-0002 Öffentliche Roadmap 2026 und Meilensteinplanung

implemented governance

Definiert die öffentliche Roadmap für 2026 mit Q1–Q4-Meilensteinen, v1.0-Ziel, Pilotprogramm und Foundation-Readiness-Zielen.

Autor: sascha-lewandowski Eröffnet: 2025-12-06Entschieden: 2025-12-06Umgesetzt: 2025-12-06PR: #2

RFC-0003 Pillar-Beschreibungen und Kernfragen — alle 7 Säulen

implemented framework

Fügt die initiale Inhaltsdefinition für jede der 7 Säulen hinzu: Scope, Begründung und Kernbewertungsfragen. Bildet die Basis für die Controls Library.

Autor: sascha-lewandowski Eröffnet: 2025-12-07Entschieden: 2025-12-07Umgesetzt: 2025-12-07PR: #3

RFC-0004 Dokumentationsmigration zu AsciiDoc / Antora

implemented docs

Migriert die gesamte Framework-Dokumentation von Markdown nach AsciiDoc und etabliert Antora als Dokumentations-Build-System mit Komponenten-Versionierung (v1.0).

Autor: t1murl Eröffnet: 2026-02-20Entschieden: 2026-02-26Umgesetzt: 2026-02-26PR: #4

RFC-0005 Contribution-Metadaten: CONTRIBUTING, CODE_OF_CONDUCT, SECURITY

implemented governance

Fügt dem Framework-Repository die Standard-Open-Source-Health-Dateien hinzu: Beitragsrichtlinien, Verhaltenskodex (basierend auf Contributor Covenant v2.1) und Sicherheitsrichtlinie.

Autor: sascha-lewandowski Eröffnet: 2026-02-06Entschieden: 2026-02-08Umgesetzt: 2026-02-08PR: #6

RFC-0006 Sovereign-Pillar (Säule 7) — initiale Controls

implemented framework

Führt den Sovereign-Pillar als 7. Säule von WAF++ ein — Datensouveränität, Compliance und jurisdiktionale Kontrolle. Liefert 10 initiale Controls (WAF-SOV-010 bis WAF-SOV-100).

Autor: sascha-lewandowski Eröffnet: 2026-02-14Entschieden: 2026-03-04Umgesetzt: 2026-03-04

Eine Änderung vorschlagen?

Eine GitHub Discussion mit dem RFC-Template eröffnen. Die Community prüft es, Maintainer entscheiden — alles ist dokumentiert und nachvollziehbar.

RFC eröffnen → RFC-Prozess-Leitfaden →

Prozess

Was qualifiziert sich als RFC?

Nicht jede Änderung braucht einen RFC — nur wesentliche. Die folgende Tabelle hilft bei der Entscheidung.

Änderungstyp	RFC erforderlich?	Prozess
Neuer Pillar oder Entfernung eines Pillars	Ja	RFC → TSC-Abstimmung → PR
Änderungen am Scoring-Modell (PASS-Tiers, Gewichtungen)	Ja	RFC → TSC-Abstimmung → PR
Breaking Changes am Controls-Schema oder IDs	Ja	RFC → TSC-Abstimmung → PR
Neuer Working-Group-Vorschlag	Ja	RFC → Lazy Consensus → Charter veröffentlicht
Governance- oder Rollenänderungen	Ja	RFC → TSC-Supermehrheit
Neuer Control (nicht-breaking, additiv)	Empfohlen	PR mit Diskussionslink · Lazy Consensus
Docs-Wording, Tippfehler, Übersetzungen	Nein	Nur PR
Website-Inhalte, Blog-Beiträge	Nein	Nur PR

Lebenszyklus

RFC-Status-Ablauf

📝

draft

Autor verfasst den Vorschlag in GitHub Discussions

→

💬

open

Mindestens 5 Werktage offen für Community-Kommentare

→

✅

accepted

TSC-Abstimmung oder Lazy Consensus — öffentlich dokumentiert

→

🚀

implemented

PR gemergt, Changelog-Eintrag hinzugefügt, RFC geschlossen

Alternative Ausgänge: rejected (nach Review nicht akzeptiert) oder withdrawn (vom Autor zurückgezogen). Beide werden mit Begründung dokumentiert.