# Stundenplan — SBOM

Software Bill of Materials fuer den Stundenplaner-Stack.

Erzeugt via `scripts/stundenplan-sbom.sh`.

## Inhalt

- `school-service-licenses.csv` — Go-Module von `school-service`
- `timetable-solver-licenses.json` — Python-Pakete (incl. Timefold + JPype + asyncpg)
- `studio-v2-licenses.json` — npm-Pakete im Production-Build von studio-v2

## Lizenz-Whitelist

Per `.claude/rules/open-source-policy.md`:
- ✅ MIT, Apache-2.0, BSD-2/3-Clause, ISC, MPL-2.0, LGPL, CC0
- ❌ GPL-2/3, AGPL, SSPL, BSL, „Non-Commercial"

Bei Updates: SBOM neu generieren, gegen Whitelist pruefen.

## Bekannt-relevante Dependencies (manuell verifiziert 2026-05-22)

| Package | Version | Lizenz | OK? |
|---------|---------|--------|-----|
| timefold (Python) | 1.24.0b0 | Apache-2.0 | ✅ |
| JPype1 | 1.5.1 | Apache-2.0 | ✅ |
| FastAPI | 0.115.0 | MIT | ✅ |
| asyncpg | 0.30.0 | Apache-2.0 | ✅ |
| pydantic | 2.9.2 | MIT | ✅ |
| gin-gonic/gin (Go) | latest | MIT | ✅ |
| jackc/pgx/v5 (Go) | latest | MIT | ✅ |
| golang-jwt/jwt/v5 (Go) | latest | MIT | ✅ |
| Next.js (studio-v2) | 15.x | MIT | ✅ |
| React | 19.x | MIT | ✅ |