Workshop 9 – OpenChain i praktiken: Grund för OSPO:er och open source‑compliance

Workshopen gav en introduktion till OpenChain, vars vision är en pålitlig mjukvaruleveranskedja och vars mission är att göra detta praktiskt genomförbart. OpenChain är ett open source‑projekt som utvecklar specifikationer öppet via GitHub och öppna forum. Organisationen har ett brett internationellt och tvärindustriellt deltagande, med stark representation från bland annat fordonsindustri, telekom, konsumentelektronik, molntjänster och halvledarindustrin. Två centrala ISO‑standarder har tagits fram:

• ISO/IEC 5230 – open source‑compliance
• ISO/IEC 18974 – open source‑säkerhet

Under workshopen låg fokus främst på ISO/IEC 5230.

OpenChain‑certifiering bygger på att organisationen etablerar och upprätthåller ett grundläggande open source‑complianceprogram. Kraven är processbaserade och beskriver vad som ska finnas på plats, inte hur det ska implementeras. Centrala komponenter är en fastställd open source‑policy, tydliga roller och ansvar (inklusive juridisk kompetens), dokumenterade processer för hur open source hanteras vid införande, användning och leverans, samt utbildning av relevanta medarbetare.

Certifieringen genomförs huvudsakligen genom självdeklaration, där organisationen definierar omfattningen (scope) för sitt complianceprogram, utvärderar sina processer mot OpenChain‑specifikationen och formellt deklarerar konformitet. Det är tillåtet att börja med en begränsad del av organisationen. Programmet ska hållas levande och omvärderas minst var 18:e månad. Extern granskning kan användas som stöd men är inget krav.

Utöver formella standarder tar OpenChain även fram praktiska guider och specifikationer, till exempel kring SBOM‑kvalitet och harmonisering inom specifika branscher. Allt material är öppet tillgängligt och kräver inget medlemskap för att användas.

Ett OSPO‑perspektiv presenterades där OpenChain beskrevs som ett sammanhållande lager mellan initiativ som SBOM‑standarder, OSPO‑best‑practice‑arbete och mätetal för open source‑engagemang. OpenChain möjliggör att dessa delar kan omsättas i sammanhängande, verifierbara processer.

Ett återkommande budskap var att alla OSPO:er ser olika ut. Varje organisation måste anpassa policyer och processer efter sin egen struktur, kultur och mognad. Samtidigt ger OpenChain ett gemensamt ramverk som är tillämpbart tvärs över branscher.

Avslutningsvis delades erfarenheter från en organisation som påbörjade sitt OpenChain‑arbete efter att ha identifierat att open source‑compliance tidigare varit fragmenterad och reaktiv.

En central OSPO‑funktion etablerades, kompletterad med ett nätverk av open source‑champions i verksamheten. OSPO:n fungerar som ett kompetenscenter med tydligt mandat, medan cybersäkerhet hanteras i separata strukturer. Ett avgörande steg var att revidera organisationens open source‑policy, från ett restriktivt dokument till ett som tydligt definierar roller, ansvar, tillitsbaserade arbetsflöden och eskalering vid större bidrag.

Utbildning infördes på bred front, först lärarledd och senare även som obligatorisk självstudiekurs. Ett internt kunskapsnav byggdes upp, och verktygsstöd infördes successivt med allt större automatisering i CI/CD‑flöden. Leverantörskrav skärptes, inklusive krav på SBOM i SPDX‑format.

Tidiga utmaningar handlade om att definiera scope och få acceptans för rollen som open source‑champion. Med tiden blev nyttan tydlig: bättre kontroll, färre överraskningar och ökat förtroende från ledning och verksamhet. Arbetet har därefter fortsatt iterativt med regelbundna omvärderingar och successivt utökat omfång.

Workshoppen visade tydligt hur open source, OSPO‑arbete och standardisering blir allt mer strategiska frågor, inte minst i branscher som traditionellt varit hårt reglerade. Erfarenhetsutbytet gav både konkreta exempel och långsiktiga perspektiv för hur organisationer kan bygga hållbara och skalbara arbetssätt med stöd av OpenChain.