Kort fortalt
Open source kan give en organisation mere gennemsigtighed, fleksibilitet og leverandøruafhængighed, men kun hvis valget følges af governance, supportmodel, vedligehold, sikkerhedsproces, licensstyring og realistisk totaløkonomi.
Kort fortalt
Open source er ikke først og fremmest en måde at få software gratis på. Det er en måde at ændre organisationens handlemuligheder på: mere gennemsigtighed i kode og afhængigheder, flere mulige leverandører, større mulighed for tilpasning og en bedre position, hvis en leverandør, et produkt eller en prisstruktur ændrer sig.
Men open source giver ikke automatisk sikkerhed, lavere totalomkostning eller leverandøruafhængighed. En organisation kan sagtens vælge open source og stadig ende med kritisk afhængighed af én konsulent, én intern nøgleperson, et usundt projekt, manglende dokumentation eller et driftsmiljø, ingen kan vedligeholde.
Den strategiske beslutning er derfor ikke “open source eller proprietært”. Den er: hvor giver åben kildekode, åbne licensvilkår, flere leverandørmuligheder og egen kompetence en reel organisatorisk fordel, og hvad skal organisationen investere for at gøre fordelen praktisk?
Beslutningen artiklen hjælper med
Artiklen hjælper ledelse, IT, indkøb, sikkerhed, jura/compliance og forretning med at beslutte:
- hvornår open source er et strategisk virkemiddel for digital suverænitet
- hvornår open source kun er et lavprisvalg uden tilstrækkelig governance
- hvilken supportmodel der kræves for kritiske systemer
- hvilke krav der bør stilles til vedligehold, sikkerhed, licenser, dokumentation og exit
- hvordan totalomkostningen bør vurderes, før organisationen vælger eller fravælger open source
Målet er ikke at gøre open source til standardsvar på alle indkøb. Målet er at gøre organisationen bedre til at skelne mellem tre meget forskellige situationer: proprietær leverandørstyring, passiv open source-brug og styret open source-adoption.
Hvad open source faktisk betyder
Open Source Initiative beskriver open source som mere end adgang til kildekoden. En open source-licens skal blandt andet tillade fri redistribution, adgang til kildekode, afledte værker, ikke-diskrimination mellem personer, grupper og anvendelsesområder samt teknologineutralitet. Open Source Initiative, The Open Source Definition
Det betyder to vigtige ting for en organisation.
For det første er “open source” et licens- og rettighedsspørgsmål, ikke bare et spørgsmål om, hvorvidt kildekoden kan ses på en hjemmeside. Hvis en leverandør kalder noget åbent, men begrænser kommerciel brug, bestemte brancher eller retten til at ændre og distribuere, bør indkøb og jura undersøge, om det faktisk er open source efter en anerkendt definition.
For det andet siger licensen ikke alt om, hvor godt løsningen passer til organisationen. Licensen kan give rettigheder, men den leverer ikke automatisk drift, support, patching, dokumentation, brugeruddannelse, integrationsansvar eller sikkerhedsberedskab.
Derfor bør open source vurderes som en kombination af rettigheder og kapabilitet:
| Spørgsmål | Hvorfor det betyder noget |
|---|---|
| Har vi ret til at bruge, ændre og distribuere softwaren? | Afgør juridisk handlefrihed og mulighed for tilpasning |
| Kan vi forstå og vedligeholde løsningen? | Afgør om handlefriheden kan bruges i praksis |
| Findes der et sundt projekt eller marked omkring løsningen? | Afgør om organisationen har alternativer til én leverandør |
| Kan vi drive, sikre og supportere løsningen ansvarligt? | Afgør om løsningen er moden nok til kritisk brug |
| Kan vi forlade eller overtage løsningen ved behov? | Afgør om open source faktisk reducerer lock-in |
En open source-licens kan åbne en dør. Organisationen skal stadig have en plan for at gå igennem den.
Den forkerte diskussion: gratis eller betalt
Open source bliver ofte reduceret til licenspris. Det er forståeligt, fordi licenslinjen i budgettet er synlig. Men for kritiske systemer er licenspris kun én del af regnestykket.
Den relevante totaløkonomi omfatter typisk:
- intern tid til arkitektur, test, opsætning, dokumentation og drift
- supportaftale, managed service, systemintegrator eller ekstern specialist
- sikkerhedsscanning, patch management, vulnerability handling og hændelsesberedskab
- licenscompliance, SBOM, dependency-overblik og auditspor
- uddannelse af brugere, administratorer og udviklere
- integrationer, migration, datakonvertering og parallel drift
- deltagelse i projektets community, sponsorering eller upstream-bidrag, hvis organisationen afhænger af projektet
- exit, overdragelse, backup, restore og dokumentation
I nogle tilfælde kan open source give lavere totalomkostning. I andre kan det være dyrere end en proprietær SaaS-løsning, fordi organisationen selv bærer mere af ansvaret. Begge udfald kan være rationelle.
Den modne analyse spørger ikke “er licensen gratis?” Den spørger “hvilke dele af ansvaret flytter fra leverandøren til os, og er den handlefrihed prisen værd?”
Tre modeller: proprietær, passiv open source og styret open source
Brug matrixen som første beslutningsværktøj.
| Dimension | Proprietær løsning | Passiv open source | Styret open source |
|---|---|---|---|
| Licenspris | Betaling er ofte tydelig, men totaløkonomi kan skjules i bindinger, moduler og exit | Lav anskaffelsespris kan skjule drift, vedligehold og support | Pris vurderes sammen med kompetence, support, sikkerhed og exit |
| Kontrol | Roadmap, kildekode, rettelser og datamodel styres primært af leverandøren | Koden er tilgængelig, men organisationen har ingen klar ejer eller påvirkning | Organisationen kan auditere, tilpasse, påvirke eller skifte partner |
| Support | Aftalt med én leverandør eller et begrænset partnerøkosystem | Forum, frivillige og dokumentation er nyttige, men ikke kritisk SLA | Community, intern ejer, supportaftale og eventuel managed service kombineres |
| Tilpasning | Afhænger af leverandørens API’er, konfiguration og roadmap | Teknisk muligt, men kan skabe lokal fork uden vedligeholdelsesplan | Tilpasning styres med principper for upstream, dokumentation og ejerskab |
| Sikkerhed | Afhænger af leverandørens proces, transparens og kontraktuelle rapportering | Synlig kode er ikke det samme som aktiv sikkerhedsproces | SBOM, patching, releaseproces, provenance og sårbarhedshåndtering vurderes |
| Exit | Skifte afhænger af dataeksport, kontrakt, format og integrationsbindinger | Fork eller selvdrift er teoretisk uden kompetence og dokumentation | Exit testes gennem build, data, drift, dokumentation og partneralternativer |
Den vigtigste forskel ligger mellem passiv og styret open source. Passiv open source er, når organisationen downloader en løsning og håber, at den er billig, stabil og selvforklarende. Styret open source er, når organisationen behandler løsningen som en kritisk afhængighed med ejer, budget, sikkerhedsproces og supportmodel.
Hvornår open source er strategisk stærkt
Open source er især strategisk interessant, når organisationen har brug for mere end en standardfunktion.
Det kan være stærkt, når systemet er tæt på kerneprocesser, og organisationen skal kunne forstå, dokumentere eller tilpasse adfærden. Det kan være relevant, når dataformater, integrationer og auditmuligheder er vigtigere end en poleret standardpakke. Det kan være relevant, når organisationen vil undgå, at én leverandørs roadmap bestemmer udviklingen af en kritisk arbejdsgang.
Open source kan også være stærkt, når der findes et modent økosystem af leverandører, dokumentation, brugere og bidragydere. Her kan organisationen købe professionel support uden at give afkald på retten til at skifte supportpartner, påvirke roadmap eller overtage mere ansvar senere.
Endelig kan open source være strategisk, når gennemsigtighed har selvstændig værdi. Det kan gælde sikkerheds- og infrastrukturkomponenter, hvor organisationen har behov for at undersøge afhængigheder, buildproces, sårbarheder og ændringer. Gennemsigtighed garanterer ikke sikkerhed, men den kan gøre kontrol mere mulig.
Hvornår open source ikke er det rigtige svar
Open source er ikke automatisk bedre for alle systemer.
Det kan være et dårligt valg, hvis organisationen mangler intern eller ekstern driftsevne, og ingen kan tage ansvar for patching, backup, overvågning og hændelser. Det kan være risikabelt, hvis projektet har få vedligeholdere, uklare releases, svag dokumentation eller ingen moden sårbarhedsproces.
Det kan også være uhensigtsmæssigt, hvis organisationen har behov for en standardiseret, stærkt reguleret service med klare garantier, og open source-alternativet kun findes som et projekt uden professionel support. I den situation kan en proprietær løsning være mere ansvarlig, hvis kontrakt, sikkerhed, databehandling, exit og leverandørstyring er stærke.
Open source passer heller ikke nødvendigvis til små, ikke-kritiske værktøjer, hvor skifteomkostningen er lav, data er ubetydelige, og tung governance ville koste mere end risikoen. Her kan enkelhed være vigtigere end maksimal handlefrihed.
Pointen er ikke at vælge open source af princip. Pointen er at vælge det, når rettighederne og økosystemet kan omsættes til faktisk kontrol.
Supportmodeller: hvem tager telefonen kl. 03?
For kritiske systemer er “community support” sjældent nok. Et community kan være værdifuldt for viden, fejlrettelser, diskussioner og langsigtet udvikling, men det er ikke det samme som en forpligtet supportaftale.
Organisationen bør vælge en supportmodel eksplicit.
| Model | Passer bedst til | Vigtigste risiko |
|---|---|---|
| Ren intern drift | Organisationer med stærke tekniske teams og lav afhængighed af ekstern SLA | Nøglepersonafhængighed og underbudgetteret vedligehold |
| Community plus intern ejer | Mindre kritiske systemer eller tidlig afprøvning | Ingen garanteret responstid ved kritiske fejl |
| Betalt support fra projekt- eller produktleverandør | Kritiske systemer med kendt distribution eller professionelt økosystem | Ny leverandørbinding, hvis viden ikke dokumenteres internt |
| Systemintegrator eller lokal partner | Organisationer der har brug for implementering, integration og drift | Afhængighed flyttes fra softwarelicens til konsulentviden |
| Managed service baseret på open source | Organisationer der vil have drift uden at miste teknisk exitmulighed | Servicevilkår kan genskabe SaaS-lignende lock-in |
| Konsortium eller fælles offentlig/sektorbaseret drift | Flere organisationer med ens behov og langsigtet mandat | Governance kan blive langsom, hvis ansvar og finansiering er uklare |
Det centrale spørgsmål er ikke, om open source har support. Det centrale spørgsmål er, om supportmodellen matcher systemets kritikalitet.
For et vidensværktøj kan intern ejer og community være nok. For identitet, økonomi, sagsbehandling, sikkerhedslogning eller borger-/kundevendte platforme bør organisationen kræve aftalte responstider, patchproces, eskalationsvej, dokumentation og beredskab.
Governance: open source kræver ejerskab
Open source fejler ofte organisatorisk, når alle antager, at nogen andre ejer det.
En praktisk governance-model bør fordele ansvar sådan:
| Rolle | Ansvar |
|---|---|
| Ledelse | Fastlægger hvor open source er strategisk ønsket, og hvilken risiko organisationen accepterer |
| IT-arkitektur | Vurderer integrationer, drift, afhængigheder, standarder, data og exit |
| Sikkerhed | Vurderer patching, sårbarhedsproces, logging, provenance, build og beredskab |
| Indkøb | Sikrer supportvilkår, exit, dokumentation, prisstruktur og leverandørmarked |
| Jura/compliance | Vurderer licenser, databehandlerroller, ophør, ansvar og dokumentationskrav |
| Forretningen | Definerer kritikalitet, arbejdsgange, brugerbehov og konsekvens ved nedbrud eller skift |
| Intern systemejer | Holder dokumentation, roadmap, releaseplan og risici opdateret |
Governance behøver ikke være tung. Men for kritiske systemer bør der mindst være en navngiven systemejer, en vedligeholdsplan, et supportspor, en sikkerhedsproces og et review før større opgraderinger eller kontraktfornyelser.
Sikkerhed: synlig kode er ikke nok
En almindelig misforståelse er, at open source enten automatisk er sikkert, fordi mange kan se koden, eller automatisk er usikkert, fordi alle kan se koden. Begge påstande er for simple.
Synlig kildekode kan gøre audit, fejlfindning og uafhængig verifikation lettere. Men sikkerhed afhænger også af vedligeholdere, reviewproces, test, release management, buildmiljø, dependency-styring, sårbarhedshåndtering, signering, konfiguration og drift.
NIST’s Secure Software Development Framework beskriver sikre udviklingspraksisser som noget, der skal integreres i softwareudvikling og bruges som fælles sprog mellem producenter, indkøbere og brugere. NIST SP 800-218 For en organisation betyder det, at open source-vurderingen bør handle om proces og evidens, ikke kun licens.
Relevante sikkerhedsspørgsmål:
- Findes der en tydelig politik for rapportering af sårbarheder?
- Hvor hurtigt håndteres kritiske sårbarheder typisk, og hvordan kommunikeres de?
- Er releases signerede eller på anden måde verificerbare?
- Kan organisationen se eller producere en SBOM for løsningen og dens afhængigheder?
- Er buildprocessen dokumenteret og reproducerbar nok til organisationens risikoniveau?
- Bruges der automatiserede kontroller for afhængigheder, branch protection, test og kendte sårbarheder?
- Har organisationen en intern proces for at prioritere, teste og installere patches?
SPDX-projektet leverer blandt andet en specifikation for SBOM-format, en standardiseret licensliste og værktøjer til at arbejde med specifikationer og licenser. SPDX Overview SPDX License List giver standardiserede korte licensidentifikatorer, fulde licensnavne og permanente URL’er til licenser og undtagelser. SPDX License List
OpenSSF Scorecard kan bruges til automatiserede kontroller, der hjælper med at vurdere sikkerhedsrisici i open source-projekter og afhængigheder. OpenSSF Scorecard SLSA giver et sprog for software supply chain-integritet, herunder kilde, build, afhængigheder og provenance. SLSA
Disse værktøjer er ikke en garanti. De er beslutningsstøtte. En høj score eller en SBOM erstatter ikke risikovurdering, patching, konfigurationssikkerhed eller hændelsesberedskab.
Licenser: frihed kræver styring
Open source-licenser giver rettigheder, men de stiller også betingelser. For organisationer er licensstyring især relevant, når software distribueres videre, indlejres i produkter, ændres, hostes som service eller kombineres med egen kode.
En ledelsesartikel bør ikke erstatte juridisk rådgivning, men den praktiske pointe er enkel: open source uden licensoverblik kan skabe compliance-risiko.
Minimumskrav:
- Registrér hvilke open source-komponenter der bruges i kritiske systemer.
- Brug standardiserede licensidentifikatorer, hvor det er praktisk, for eksempel SPDX-id’er.
- Skeln mellem intern brug, distribution, SaaS-drift, ændringer og integration i egne produkter.
- Dokumentér hvem der godkender nye afhængigheder og licenstyper.
- Hav en proces for at håndtere licensændringer, projektforks og afhængigheder uden tydelig licens.
- Lad jura/compliance vurdere licenser, der kan påvirke distribution, offentliggørelse, patentrettigheder eller kundeleverancer.
Licensstyring bør ikke bruges som skræmmebillede mod open source. Proprietær software har også kontrakt- og rettighedsrisici. Forskellen er, at open source ofte flytter noget af vurderingen tættere på organisationens egen udvikling, drift og dependency-styring.
Totalomkostning: lav pris kan være ægte eller vildledende
Open source kan være økonomisk attraktivt, men organisationen bør skelne mellem anskaffelsespris og totalomkostning.
Brug denne TCO-model før beslutning:
| Omkostningsfelt | Spørgsmål |
|---|---|
| Anskaffelse | Hvad koster licens, abonnement, support, hosting, implementering og rådgivning? |
| Drift | Hvem overvåger, patcher, tester backup, håndterer kapacitet og løser hændelser? |
| Kompetence | Hvilken intern viden skal opbygges, og hvad sker der ved personaleudskiftning? |
| Vedligehold | Hvem følger releases, afhængigheder, sårbarheder, breaking changes og roadmap? |
| Tilpasning | Hvilke ændringer er nødvendige, og kan de sendes upstream eller skal de bæres lokalt? |
| Compliance | Hvad kræver licensstyring, SBOM, dokumentation, audit og databehandlerforhold? |
| Support | Hvilke responstider, eskalationer og garantier kræves for systemets kritikalitet? |
| Exit | Hvad koster dataudtræk, migration, parallel drift, dokumentation og overdragelse? |
Hvis organisationen kun budgetterer med licensprisen, bliver open source let underfinansieret. Hvis den budgetterer ærligt, kan open source stadig være det bedste valg, men af den rigtige grund: bedre handlefrihed, mere kontrol og et sundere leverandørmarked.
Projektets sundhed: vurder community som leverandørkæde
For proprietær software vurderer man leverandøren. For open source skal man også vurdere projektet.
Se især på:
- aktivitet i releases, issues og sikkerhedsrettelser
- antal og fordeling af vedligeholdere
- dokumentation for installation, drift, backup, opgradering og sikkerhed
- governance: hvem kan merge kode, træffe roadmap-beslutninger og håndtere konflikter
- finansiering eller organisatorisk forankring
- kompatibilitet med organisationens arkitektur og kompetencer
- tegn på bus factor-risiko, uafklarede licenser eller uholdbare forks
Et lille projekt kan være fremragende, hvis det løser et afgrænset problem og er let at erstatte. Det samme projekt kan være uegnet som kritisk fundament, hvis organisationen ikke kan overtage vedligehold eller købe professionel support.
Open source giver mulighed for at se flere af disse forhold. Det gør også organisationen ansvarlig for faktisk at kigge.
Beslutningsmodel: seks spørgsmål før valg
Brug modellen ved nye indkøb, fornyelser eller vurdering af eksisterende open source-afhængigheder.
| Spørgsmål | Lav risiko | Kræver styring | Høj risiko |
|---|---|---|---|
| Kritikalitet | Værktøjet kan undværes eller erstattes | Understøtter vigtige arbejdsgange | Nedbrud påvirker drift, borgere, kunder, økonomi eller compliance |
| Kompetence | Flere interne eller eksterne kan drifte løsningen | Viden findes, men er koncentreret | Kun én person eller leverandør forstår løsningen |
| Support | Community eller intern support er nok | Betalt support bør etableres | SLA, beredskab og eskalation mangler for kritisk brug |
| Sikkerhed | Lav eksponering og enkel patching | Afhængigheder, SBOM og patchproces skal formaliseres | Uklar sårbarhedsproces, gamle releases eller utestet patching |
| Licens og compliance | Licens er velkendt og brugen er enkel | Juridisk vurdering kræves ved distribution, ændring eller produktbrug | Licens, ophav eller dependency-kæde er uklar |
| Exit | Data, konfiguration og drift kan flyttes | Exit kræver dokumenteret projekt | Fork/overdragelse er kun teoretisk |
Hvis flere felter ligger i “høj risiko”, er svaret ikke nødvendigvis nej. Men svaret bør være: nej, indtil der findes en supportmodel, en sikkerhedsproces, en kompetenceplan og et budget.
Indkøbskrav ved styret open source
Når open source indgår i et kritisk system, bør indkøb og kontrakt ikke kun spørge efter pris og funktioner.
Relevante krav:
- Leverandøren skal beskrive hvilke open source-komponenter løsningen bygger på.
- Der skal kunne leveres eller genereres SBOM for relevante komponenter, hvor det er praktisk og risikobaseret.
- Licenser skal dokumenteres med standardiserede identifikatorer, hvor det er muligt.
- Supportaftalen skal skelne mellem konfiguration, produktfejl, upstream-fejl, sikkerhedssårbarheder og lokale tilpasninger.
- Leverandøren skal beskrive patchproces, releasepolitik, afhængighedsstyring og sårbarhedshåndtering.
- Lokale ændringer skal dokumenteres, og der bør være en strategi for upstream-bidrag eller minimering af langvarige forks.
- Organisationen skal have ret til relevant dokumentation, konfiguration, scripts og data, så en anden partner kan overtage.
- Exit skal omfatte data, konfiguration, infrastruktur, build, deployment, adgangsstyring og driftsoverdragelse.
- Hvis løsningen drives som managed service, skal servicevilkår ikke fjerne de praktiske fordele ved open source gennem lukkede driftsværktøjer eller utilgængelig konfiguration.
Det er legitimt at købe open source gennem en leverandør. Faktisk er det ofte det mest ansvarlige valg for kritiske systemer. Men leverandøren bør ikke blive eneste sted, hvor viden, rettelser og dokumentation findes.
Tradeoffs: hvad organisationen får og betaler med
Open source kan give:
- mere gennemsigtighed i kode og afhængigheder
- bedre mulighed for audit, tilpasning og uafhængig drift
- flere potentielle support- og implementeringspartnere
- stærkere exitposition, hvis data, konfiguration og kompetence er dokumenteret
- mulighed for at bidrage til fælles infrastruktur i stedet for kun at købe adgang
Men organisationen betaler med:
- større ansvar for governance og vedligehold
- behov for intern kompetence eller stærke partnere
- licens- og dependency-styring
- risiko for lokale forks, hvis tilpasninger ikke håndteres disciplineret
- usikkerhed omkring projektets fremtid, hvis community eller finansiering svækkes
- mere komplekst indkøb, fordi support, service og software ikke nødvendigvis kommer fra samme aktør
Det er netop denne afvejning, der gør open source strategisk. Organisationen kan købe sig til mindre ansvar gennem en lukket service, eller den kan investere i mere handlefrihed. Ingen af delene er gratis.
Et realistisk scenario: sagsplatformen
Forestil jer en offentlig eller reguleret organisation, der skal vælge en sagsplatform til interne processer. Den proprietære løsning har hurtig implementering, stærk leverandørpakke og kendt support. Open source-alternativet kræver mere analyse, men giver adgang til kildekode, bedre mulighed for lokal tilpasning og et partnerøkosystem med flere leverandører.
Hvis organisationen kun ser på licenspris, virker open source oplagt. Hvis den ser på første års implementering, virker den proprietære løsning måske tryggere.
Den strategiske vurdering bør være bredere:
- Er sagsdata lette at eksportere med metadata, historik, rettigheder og bilag?
- Kan organisationen skifte implementeringspartner uden at miste viden om konfiguration og tilpasninger?
- Findes der en supportaftale, der matcher systemets kritikalitet?
- Kan sikkerhedsteamet få logs, SBOM, patchinformation og sårbarhedsproces?
- Kan lokale tilpasninger holdes tæt på upstream, eller opstår en dyr særversion?
- Hvad er treårsomkostningen ved begge modeller, inklusive drift, uddannelse, integration og exit?
- Hvilket valg giver bedst handlefrihed, hvis lovkrav, arbejdsgange eller leverandørmarked ændrer sig?
Konklusionen kan stadig være proprietær software. Men hvis open source vælges, bør det være fordi organisationen har en plan for at udnytte åbenheden, ikke fordi første linje i budgettet er lavere.
Første 30 dage: sådan starter I uden ideologi
Start med en kort, praktisk kortlægning.
- Udpeg fem til ti systemer eller komponenter, hvor open source allerede bruges eller overvejes.
- Markér hvilke der er kritiske for drift, data, sikkerhed, borgere, kunder eller compliance.
- Find ejer, supportmodel, licenser, vigtigste afhængigheder og nuværende patchproces.
- Vurder projektets sundhed: releases, vedligeholdere, dokumentation, sårbarhedsproces og partnerøkosystem.
- Lav en TCO-vurdering, der inkluderer intern tid, support, vedligehold, sikkerhed, compliance og exit.
- Beslut pr. system: accepter som lav risiko, styrk governance, køb support, byg kompetence, reducer afhængighed eller vælg en anden løsning.
- Gør open source-krav til en fast del af indkøb, arkitekturreview og risikovurdering.
Det er bedre at lave en ærlig første vurdering af de vigtigste afhængigheder end at skrive en bred open source-politik, som ingen bruger i praksis.
Mødespørgsmål til ledelsen
Brug disse spørgsmål ved næste IT-, risiko- eller indkøbsreview:
- Hvor bruger vi open source i kritiske systemer i dag, og hvem ejer risikoen?
- Hvilke open source-valg er strategiske, og hvilke er tilfældige afhængigheder?
- Har vi supportmodel, patchproces og dokumentation, der matcher systemernes kritikalitet?
- Kan vi forklare totalomkostningen, inklusive intern tid, sikkerhed, compliance og exit?
- Hvilke projekter eller komponenter afhænger vi af, hvor community, vedligeholdelse eller licensforhold bør vurderes?
- Hvor kan open source give os reel leverandøruafhængighed, hvis vi investerer i kompetence og governance?
- Hvor bruger vi open source på en måde, der kun flytter ansvar til os uden at give tilsvarende handlefrihed?
Det sidste spørgsmål er ofte det vigtigste. Open source er stærkest, når organisationen ikke bare bruger åben kode, men bevidst bygger kapacitet omkring den.
Kilder
- Open Source Initiative, The Open Source Definition
- SPDX, Overview
- SPDX License List
- NIST SP 800-218, Secure Software Development Framework (SSDF) Version 1.1
- OpenSSF Scorecard
- SLSA, Supply-chain Levels for Software Artifacts
Dette er generel information og ikke juridisk rådgivning.