Du kannst Home Assistant (wie viel open source Software) direkt von GitHub laden. Ich nutze dafür die App Obtainium. Es ginge aber auch direkt als .APK oder via Play Store.
Was meines Wissens nicht mehr empfohlen ist sind f droid und MicroG. F-droid hat das Problem, dass die Macher die Apps mit eigener Signatur neu packen und man nicht prüfen / nachvollziehen kann, ob etwas verändert wurde. Es ist nicht davon auszugehen. Aber gerade GrapheneOS ist grundsätzlich kompromisslos, was so etwas angeht. 
Der Play Store ist eine empfohlene Quelle für Apps. Dieser kann in GrapheneOS direkt (nach) installiert werden und läuft mit den selben Berechtigungen und Sandboxed, wie jede andere App.
Du könntest ihm sogar den Internet Zugriff verwehren…
Was Du ebenfalls optional installieren kannst sind die Play Services und Google Auto, wobei letzteres die Play Services voraussetzt.
Ich hatte es anfangs so, dass ich auf dem Main Profile nichts hatte und max. Apps installirt habe, die dort nicht einmal Netzwerk Zugriff hatten, um sie in andere Profile zu kopieren.
Dazu hatte ich ein separates Daily Profile und ein Banking Profile. Absolut nichts von Google.
Für Home Assistant (in der minimal Version) und die Benachrichtigungen habe ich mir einen ntfy Server (auf uberspace aufgesetzt. Den habe ich auch für Matrix genutzt, worüber meine messenger gebridged werden.
Dies hat mir allerdings die Akkulaufzeit drastisch reduziert.
Später kam ein Google Profile hinzu. Darin liefen dann auch play services und Google Auto, für eben die Verbindung von Google Auto mit meinem Fahrzeug, wegen Spotify und der Überlegung Home Assistant im Fahrzeug zu nutzen.
Die ständige Profile Wechselei ging mir irgendwann tierisch auf den Keks.
Inzwischen läuft (fast) alles im Main Profile, inkl. Google Play Services, Google Auto und Play Store. HA hat (schon wegen Google Auto) die Full Version bekommen.
Signal habe ich direkt über die Seite installiert. Weil sich die App auch selbst aktualisiert, noch etwas schneller als via Obtainium. Alles andere ist ziemlich gleich geblieben.
Wenig Software, wie die App meiner Bank, beziehe ich über den Play Store. Eben, wenn es über Obtainium nicht geht, zumeist weil kein open source.
Selbst die Banking App läuft aber im regulären profile mit.
Das einzige was noch explizit ausgelagert ist, ist Etherium für Bitcoin. Wobei dort auch nur ein Watch Zugang liegt. Aber historisch und zu faul es zu ändern…
Ntfy habe ich nicht mehr im Einsatz. Nutze dafür via Play Services die Firebase Cloud Messaging Push Benachrichtigungen, die die meisten Apps eh nutzen.
Play Store und Co sind aber weiterhin auf das minimalste eingeschränkt.
GPS / Location ist aktiv, für sehr ausgewählte Apps.
Für den Login ins Gerät nutze ich Pin Code mit zufälliger Reihenfolge der Zahlen. Für Apps mit zusätzlicher Absicherung habe ich Fingerabdruck eingerichtet, wegen der Bequemlichkeit.
Gerät startet nach 8 oder 12 (müsste ich gucken) Stunden ohne Entsperrung neu, um im before first unlock Zustand zu sein.
Es gibt eine offensichtliche PIN, die bei Eingabe das gesamte Gerät zurücksetzen würde.
Damit habe ich für mich mein Bedürfnis von Sicherheit, in Hinsicht auf realistische Zugriffsversuche, im Kompromiss mit täglicher Nutzung sehr gut in Einklang gebracht.
Ich bin mir sehr sicher, dass niemand Drittes Zugriff auf die Daten hat und in den realistischen Szenarien, von Diebstahl über neugierige Partnerin oder andere neugierige Menschen bis hin zur Hausdurchsuchung bekommen würde.
Selbst bei einer Beschlagnahme wäre es mit forensischen Mitteln sehr unwahrscheinlich. Und wie hoch ist die Wahrscheinlichkeit für solche Methoden?
Vor allem wird man sich vorher selbst den Zugang sperren oder die offensichtliche PIN erraten / probieren und die Daten killen.
