← Home
st4ck.d0mus.com · Backlog & Next Steps · 2026-05-08

Backlog & Next Steps

Lista pendenze prioritizzata in 8 tier (A → H). Snapshot del lavoro residuo dopo dossier v2.4. Da consultare prima di ogni sessione di lavoro per decidere cosa attaccare. Aggiornata quando ISSUE/RA si chiudono o se ne aprono nuove.

Top 5 azioni high-leverage adesso (ranked):
  1. H1: verificare CF Pages build config dashboard (5 min) — sblocca v2.0-v2.4 in produzione
  2. A2: hardening account CloudflareDONE 2026-05-08 (TOTP attivo)
  3. B1+B2: Letter to family + DR runbook (5 h) — mitiga RA-002 Bus factor, top rischio strategico
  4. A3+A4+A5: NVMe + BIOS G8 + ordine HA Voice PE (1 h + lead time) — sblocca Fase 1 fisicamente
  5. D5: j4rv1s F0a scaffold (1.5 h, file-only) — sblocca j4rv1s F1 quando hardware arriva
tier · alta priorità · azioni Aldo immediate

Tier A — pre-Fase 1 (azioni fisiche / account)

Queste azioni bloccano tutto il resto. Tutte richiedono azione manuale o fisica di Aldo (acquisto, dashboard, BIOS, hardware). Effort totale: ~5 ore + 2-4 settimane lead time hardware.

#ItemEffortBloccante perIssue/RA
A1Acquisto hardware key 2FA (YubiKey 5C NFC o Titan, ~50 EUR)30 min ordineISSUE-010, A2P0
A2Hardening account CloudflareRESOLVED 2026-05-08 (CF 2FA TOTP gia' attivo). Sub-action raccomandate ma non bloccanti: hw key fisica + email separata + CT monitoring + API token least-priv (a discrezione, post-Fase 1)DONE ISSUE-010
A3Spostare NVMe Samsung 990 PRO 1TB dal G5 al G830 min fisicoFase 1 step 1.1P1
A4Verificare BIOS G8 (secure boot off, AHCI on, virtualization on)15 minFase 1 step 1.1P1
A5Ordinare 2× HA Voice Preview Edition Nabu Casa (~140 EUR + spedizione UE)15 min ordinej4rv1s F1 (Fase 2 step 2.15)P1
A6Vendere G5 dopo cannibalizzazione (~250 EUR recuperati)1-2 settimane mercatoP3
A7Acquisto enclosure USB-C 3.2 Gen2 + cassettino backup locale (~25 EUR)30 min ordineFase 1 step 1.13P1
A8Conferma timeline avvio Fase 1 (entro 2 settimane o più tardi?)5 min decisioneTuttodecision
A9Verifica modello UniFi gateway casa + firmware10 minCompat Site Magic Fase 3P1
tier · alta priorità · documenti fuori dossier

Tier B — documenti FUORI dossier da scrivere (Aldo)

Documenti fisici o privati da non versionare nel repo pubblico. Effort totale: ~14 ore distribuite.

#ItemEffortBloccante perIssue/RA
B1Letter to family · BOZZA in dr.html con template strutturato + cosa NON inserire (anti-leak). Da convertire in cartaceo + buste sigillate30 min compilazione placeholder + 30 min scrittura a mano + busteFase 1 chiusuraRA-002
B2DR runbook scenario-driven · BOZZA in dr.html con 9 scenari S1-S9 (file persi, ISP, Authentik, vault, G8 morto, ransomware, furto, catastrofe). Da stampare in 2 copie15 min review + stampaFase 1 chiusuraRA-002
B3Persona di fiducia onboardata (walk-through + accesso minimal)2 h prima sessione + annualeFase 2 onboarding utentiRA-002
B4docs/runbooks/offboarding.md (9-step deactivate Authentik → Synapse → Vault → Immich → Blinko → Mailpiler → HA → Kopia + export dati)4 hPre-Fase 2P0 ISSUE-009
B5docs/dpa/ directory + 5 PDF (Cloudflare, Backblaze, Mistral, Anthropic, Nabu Casa)30 min download + commitA.5.23 c0mpl14nc3
B6docs/runbooks/restore-test.md + log esecuzioni2 h scrittura + cron annualeA.8.13 c0mpl14nc3
tier · media priorità · edit dossier disponibili · 5/6 DONE

Tier C — edit dossier ancora possibili (Claude può fare, low/med priority)

Lavori opzionali sul dossier. Status 2026-05-08: 5 voci su 6 chiuse (C2-C6), C1 skipped come cosmetic-only.

#ItemEffortStatus
C1Wrapping <span class="num"> / <span class="date"> automation su numeri+date1 h sedSKIPPED cosmetic-only, basso valore
C2§11 cross-link puntuali tra step e ISSUE/RA30 minDONE coperto in v2.1, 26 cross-ref già presenti
C3§02 mini-diagramma "Identity flow" (Authentik → 11 servizi via OIDC)1 hDONE 2026-05-08 aggiunto h2 + diagramma ASCII collapsible
C4§08 Backup workflow ASCII diagram (5 layer 3-2-1)1 hDONE 2026-05-08 aggiunto diagramma collapsible con note operative
C5Hook git pre-commit per smoke test HTML (verifica anchor non rotti)2 hDONE 2026-05-08 .githooks/pre-commit attivo: 4 HTML, 26 anchor verificati, 0 broken
C6§15 dashboard "stato avanzamento Fase corrente"1 hDONE 2026-05-08 ASCII progress bar Fasi st4ck + j4rv1s + audit
tier · media priorità · bloccato Fase 1+

Tier D — bloccato da Fase 1 deploy reale

Richiedono stack live. Si sbloccano una volta deployata Fase 1.

#ItemPre-condizioneIssue
D1Authentik break-glass (utente locale admin pre-configurato + bypass OIDC)Authentik liveP0 ISSUE-001
D2chattr +C su /srv/data/postgresUbuntu installatoP0 ISSUE-004
D3Mailpiler indici su NVMe locale (separare data NFS da indexes NVMe)Fase 2 deployP0 ISSUE-005
D4LUKS at-rest sui NVMe G8 + passphrase su YubiKeyInstall UbuntuP0 ISSUE-007
D5j4rv1s F0a scaffoldDONE 2026-05-08: monorepo spostato in st4ck/j4rv1s/, scaffold Python (pyproject uv, FastAPI api stub, skill interface, router 5-tier scheletro, worker APScheduler stub), Dockerfile.api + Dockerfile.worker, blocchi compose+Caddyfile commentati, .env.example placeholder LLM APIsDONE ISSUE-011
D6j4rv1s F0b deploy infrastruttura voiceFase 1 chiusaP1 ISSUE-011
D7Test PG14 → PG16 Blinko in stagingStack live + Blinko deployatoP1 ISSUE-003
tier · media priorità · pre-Fase 3

Tier E — pre-Fase 3 / off-site DR

Bloccato dall'acquisto del 2° G8 e dal trasporto a casa genitori.

#ItemPre-condizioneIssue/RA
E1Cloudflared failover esplicito + named tunnel replicato + runbook DRAcquisto G8 #2 + hardware genitoriP0 ISSUE-002
E2DR drill #1 testato end-to-end (RTO 30 min target)Site Magic VPN + replica seedP0 ISSUE-002
E3TrueNAS Scale lab familiarization su DS720+ #2 dual-bootDismissione DS718+ #2RA-006
tier · bassa priorità · long-term

Tier F — long-term (post-Fase 3, decisioni differite)

15 item, da rivedere annualmente o quando il trigger di riapertura specifico si manifesta.

#ItemTrigger di riaperturaEffort
F1LUKS dischi NAS (DS720+ #1/#2 encrypted shared folder)Fase 42 h
F2Restic → Kopia consolidamento (1 tool unico)Fine Fase 3 (entrambi i repo in produzione)1 weekend
F3Passkey/WebAuthn primary in AuthentikPost-onboarding 2 utenti2 h
F4AdGuard wildcard *.d0mus.com (sostituisce 11 override)Fine Fase 2 (lista servizi stabile)30 min
F5AdGuard secondary su DS720+ #1 (DNS HA)Fase 2 reconfigurazione DS720+ #12 h
F6Split docker-compose per dominio applicativoFine Fase 2 (~12 servizi)1 giornata
F7Service node LLM dedicato D2 j4rv1s (Mac mini M4 vs N5)Opex cloud >30 EUR/mese o servono modelli 14B+800-1500 EUR + 1 weekend
F8Image signing + SBOM (cosign + Syft + Grype)Fase 4 + tag pinning a digest1 giornata
F9GPU dedicata Immich ML + STT (Intel Arc A310 / NVIDIA T1000)Foto >100k o STT bottleneck150-200 EUR + 1 giornata
F10Bridge Matrix (mautrix-whatsapp/signal/telegram)Solo se chiesto da utenti1 weekend per bridge
F11DS918+ → TrueNAS commodity hardwareSe DSM diventa incompatibile1 mese migrazione
F12Voice fingerprinting j4rv1s D5 (multi-utente personalizzato)Fase 5-6 quando figli vogliono autonomia1 weekend
F13j4rv1s submodule git separationPrima di j4rv1s F4 (1500+ righe Python)4 h
F14Migrazione Authentik → Keycloak (capability dormiente)Solo se Authentik perde momentum1-2 settimane
F15Plan B Cloudflare attivazioneCF cambia pricing/policy 5x5-7 giornate
tier · bassa priorità · audit periodici (calendario)

Tier G — audit periodici (calendario)

#AuditTriggerQuando target
G1cyb3r re-runPost-deploy reale (oggi è hypothesis-based)Fase 1 chiusura + annuale
G2perf re-runPost-deploy realeFase 2 chiusura
G3c0mpl14nc3 re-runAnnuale2027-05
G4arch re-runBump major / aggiunta modulo / 1×anno2027-05
G5u1 re-runCambi UI majeursA discrezione
G6syst3m re-runAnnuale (RA-008)2027-05
G7DR drillSemestrale2026-11 + 2027-05
G8Test restore Restic da B2Annuale (B6)2027-05
G9Review accessi AuthentikTrimestrale (post-Fase 1)A partire da Fase 1 chiusura
tier · alta priorità · build/operations

Tier H — build/operations da verificare ora

#ItemStatoAction
H1CF Pages dashboard build configDONE 2026-05-08Aldo conferma: config OK, build vanno a buon fine
H2Verifica ultime build CF Pages passateDONE 2026-05-08Confermato OK
H3Verifica raggiungibilità https://st4ck.d0mus.com/audit.html + /dossier.html + /backlog.html + /dr.html (nuovo)WAITING ALDOTest browser post-rebuild. /dr.html è nuovo dal commit corrente
H4Hook git pre-commit attivoDONE 2026-05-08Configurato core.hooksPath = .githooks. Smoke test pre-commit verifica anchor #id, file relativi, asset CSS/JS/font. Bypass possibile con git commit --no-verify in caso di emergenza

Sintesi top 5 azioni high-leverage

RankAzioneEffortImpact
1B1+B2 finalize: compilare placeholder dr.html + scrivere a mano + buste sigillate~2 hMitiga RA-002 Bus factor (top rischio strategico)
2D5: j4rv1s F0a scaffold ✓ DONE 2026-05-08
3Hardware evaluation con prompt th1nk homelab-architect30 min reviewValidazione scelta hardware Fase 1 (NVMe move, BIOS, HA Voice PE) + alternatives
4A3+A4+A5: NVMe + BIOS G8 + ordine HA Voice PE (post hardware-arch review)1 h + lead timeSblocca Fase 1 fisicamente
5A1: acquisto hardware key 2FA (raccomandato post-Fase 1, opzionale)30 min ordineUpgrade CF/Authentik 2FA da TOTP a hw key (passkey-grade)
Convenzione manutenzione: aggiorna questa pagina ogni volta che un item viene chiuso o ne emerge uno nuovo. Quando un Tier intero si chiude, archivia la versione precedente in backlog-archive/ (stesso pattern di audit-archive/). Il file è il single source of truth per "cosa è prossimo da fare" — la chat di Claude diventa volatile, questa pagina no.