Health and Security Management in Open Source Software

Öppen programvara utgör en central del i vår digitala infrastruktur, både sett till svensk industri och samhället i stort. Likt den fysiska infrastrukturen som ex. vårt transportnät, kräver den digitala infrastrukturen kontinuerligt underhåll för att förbli säker och robust. För den öppna programvarans del sköts detta underhåll öppet inom öppna programvaruprojekt där användare samarbetar utifrån gemensamma mål.  

Om detta underhåll ej är av tillräcklig hög kvalitet finns risken att sårbarheter kan uppstå (medvetet eller ej) och utnyttjas illasinnat av tredje part. Ett exempel på detta är Heartbleed, en sårbarhet som upptäcktes 2014 i krypteringsbiblioteket OpenSSL som används i en majoritet av alla internetuppkopplade enheter, men som infördes redan 2012. Sårbarheten möjliggjorde åtkomsten till krypteringsnycklar och i förlängningen den information som denna var till för att skydda. 

Genom HASMOSS-projektet vill vi möjliggöra för svensk industri, men även samhället i stort, att analysera och hantera risker för sårbarheter hos öppen programvara. Mer specifikt tittar vi på de öppna programvaruprojektens hälsa, dvs. dess förmåga att långsiktigt underhålla och utveckla den öppna programvaran utan avbrott och till hög kvalitet. En hälsoanalys kan informera ex. företag kring huruvida de bör börja eller fortsätta använda en öppen programvara. Detta kan även möjliggöra proaktiva och säkerhetsfrämjande insatser för att minska risken för sårbarheter, något vi genom HASMOSS-projektet kommer utveckla riktlinjer och vägledningar för. 

Det huvudsakliga målet är att möjliggöra för svensk industri att, på ett säkert och tillitsfullt sätt, kunna använda sig av öppen programvara som utvecklings- och samverkansform. Delade utvecklings- och underhållskostnader, öppen innovation och nya affärsmodeller är exempel av positiva effekter som kan följa och bidra till en ökad konkurrenskraft och digitalisering för svensk industri.