Standarder, specifikationer och principer

Syfte: Översikt över standarder, specifikationer och ramverk som checklistorna bygger på.

Diggs styrande dokument

Handboken är ett stöddokument som konkretiserar, kompletterar och underlättar praktisk efterlevnad av:

• Digg: Policy för öppen programvara (Dnr 2026-02796, beslutad 2026-04-07, giltig t.o.m. 2029-03-26)
• Digg: Riktlinje för öppen programvara (Dnr 2026-02797, beslutad 2026-04-07, giltig t.o.m. 2029-03-06)

Principer

Policyn anger sex vägledande principer för arbetet med öppen programvara:

1. Öppenhet: insyn i tekniska lösningar och processer bygger förtroende. Begränsningar ska bara ske om det krävs av personlig integritet eller säkerhet, och då i nödvändig omfattning.
2. Återanvändbarhet: gemensamma investeringar ger effektivitet. Diggs lösningar ska utformas så att de kan återanvändas.
3. Att bidra: aktivt deltagande i öppna samarbeten stärker både egen rådighet och offentlig sektor i stort.
4. Säkerhet: insyn ökar förmågan att hantera sårbarheter; egen drift minskar sårbarhet i kris; rådighet över koden möjliggör säkerhetsåtgärder över livstiden.
5. Öppna standarder: interoperabilitet och minskad inlåsning; frihet att byta leverantörer.
6. Transformation: gemensam digital förvaltning kräver öppenhet som grund och ständig förbättring genom delning av kunskap.

Efterlevnad, metadata och SBOM-format

REUSE-specifikationen: standard för att märka varje fil med licens- och upphovsuppgifter.
→ Se: Licensval och licenskompatibilitet, Förberedelse inför publicering

ISO/IEC 5230 (OpenChain): standard för hur en organisation håller ordning på licenser i öppen programvara (OpenChain).
→ Se: Licensval och licenskompatibilitet, Förberedelse inför publicering

SPDX (ISO/IEC 5962): format för licensinformation och programvaruförteckning (SBOM – software bill of materials).
→ Se: Licensval och licenskompatibilitet, Säkerhet

CycloneDX: förteckning över en programvaras ingående komponenter (SBOM-format), alternativ till SPDX.
→ Se: Säkerhet

PublicCode.yml-specifikationen: standardfil som beskriver ett offentligt programvaruprojekt så att det blir lättare att hitta och återanvända.
→ Se: Förberedelse inför publicering

Standard for Public Code: ramverk för kvalitet och hållbarhet i offentlig kod.
→ Se: Förberedelse inför publicering, Säkerhet, Hantering av ärenden, frågor och externa bidrag

Versions- och releasepraxis

Underlag till Förberedelse inför publicering och Publicering av version 1.0.0.

Conventional Commits: regler för commit-meddelanden som gör att ändringsloggar och versionsnummer kan tas fram automatiskt.

Keep a Changelog: användarvänlig releasehistorik.

Semantic Versioning 2.0.0: konsekvent versionsnumrering.

Gemenskap/community och bidrag

Contributor Covenant: uppförandekod för respektfullt och inkluderande samarbete.
→ Se: Hantering av ärenden, frågor och externa bidrag

Developer Certificate of Origin (DCO): bidragsgivare intygar rätt att bidra.
→ Se: Förberedelse inför publicering, Bidrag uppströms

TODO Group: praxis och mallar för att driva ett open source-kontor (OSPO).
→ Se: Bidrag uppströms

Säker utveckling och sårbarhetshantering

Underlag till Säkerhet; några ramverk pekar även vidare till andra checklistor.

OpenSSF OSPS Baseline: minimum av säkerhetskontroller på olika mognadsnivåer. Riktlinjen anger explicit att rekommendationer från OpenSSF ska användas där det är relevant.
→ Se även: Arbete på kodsamverkansplattform, Förberedelse inför publicering

OpenSSF Concise Guide for Developing More Secure Software: kortfattad guide till säker mjukvaruutveckling.
→ Se även: Arbete på kodsamverkansplattform

ISO/IEC 27001/2: informationsklassning och informationssäkerhet.

OWASP ASVS: kravkatalog för att verifiera säkerheten i applikationer (Application Security Verification Standard). Riktlinjen anger explicit OWASP som referensram.

OWASP Cheatsheets och OWASP Software Developer Guide: praktisk vägledning för säker utveckling.

SAFECode Fundamental Practices for Secure Software Development: etablerade principer för säker mjukvaruutveckling.

Leveranskedja och release-säkerhet

Underlag till Säkerhet.

OpenSSF Scorecard: automatiserad kontroll som poängsätter ett projekts säkerhetspraxis och föreslår förbättringar.

Sigstore: verktyg för att signera programvaruartefakter och styrka var de kommer ifrån (bl.a. cosign).

SLSA: ramverk med säkerhetsnivåer som skyddar mjukvarans leveranskedja från manipulation (Supply-chain Levels for Software Artifacts).

ISO/IEC 18974: standard för systematiskt säkerhetsarbete i leveranskedjan (OpenChain Security Assurance).

CNCF Security TAG – Software Supply Chain Security Paper: bästa praxis för säker mjukvaruleveranskedja.

Licenser

Ett urval av vanliga licensval enligt riktlinjen och Diggs rekommendation om öppna licenser och immaterialrätt; se licenschecklistan för val och kompatibilitet i praktiken.

EUPL 1.2: European Union Public Licence; copyleft (kräver att vidareutveckling förblir öppen), juridiskt bindande på svenska, hanterar SaaS och är kompatibel med flera medlemsstaters lagstiftning. Förstahandsval bland copyleft-licenser.

GPL-3.0 och AGPL-3.0: starka copyleft-licenser; AGPL omfattar även nätverksdistribution (SaaS).

LGPL-3.0: svagare copyleft för bibliotek; vanlig licenskonvention i vissa ekosystem.

MIT och Apache-2.0: tillåtande licenser när både öppen och sluten vidareutveckling ska tillåtas; Apache-2.0 ger uttryckligt patentskydd.

CC0 1.0: avstående från upphovsrätt för dokumentation, exempel och öppna data (inte kod).

Externa resurser och gemenskap/community

Utbildning och kunskap

• opensource.guide: utbildning i öppen programvara
• EU:s strategi för öppen källkod: refereras i policyn; ingår i EU:s paket för teknisk suveränitet

Svensk offentlig sektor

• Sveriges digitaliseringsstrategi 2025–2030: nationell inriktning för digitalisering
• Nationell strategi för cybersäkerhet 2025–2029: nationell inriktning för cybersäkerhet och motståndskraft
• Ena – Sveriges digitala infrastruktur: förvaltningsgemensam digital infrastruktur för säkert och effektivt informationsutbyte
• eSam: Delning och användning av öppen källkod: vägledning för offentlig sektor om att dela och använda öppen källkod
• eSam: Tekniska förutsättningar i molntjänster 2.0: vägledning om tekniska förutsättningar för molntjänster
• eSam: Rapport Samverkan kring tillämpad AI: rapport om offentlig samverkan kring tillämpad AI
• eSamverkans publikationer: publikationer och vägledningar för offentlig digital samverkan
• NOSAD (Nätverk för Open Source And Data): vägledning, mallar, strategiska dokument
• NOSAD:s vägledning om upphandling av öppen programvara: för offentliga beställare och upphandlare
• Kammarkollegiets vägledning för avrop från Programvaror och tjänster: allmänt avropsstöd
• Kammarkollegiets Kravkatalog för Programvarulösningar: ställer krav på OSI-godkända öppna licenser (avsnitt 7.5)
• Inköpsrådets artikelserie: upphandling och öppen programvara
• offentligkod.se: katalog över öppna programvaror
• Sveriges dataportal: portal för data från offentlig sektor

Internationella resurser

• EU Open Source Solutions Catalogue: katalog över återanvändbara öppna lösningar för offentlig sektor i EU
• Interoperable Europe Portal: EU:s plattform för öppen programvara och interoperabilitet
• Att stärka Europas tekniska suveränitet: EU-kommissionens paket för teknisk suveränitet (antaget juni 2026); omfattar bland annat EU:s strategi för öppen källkod
• Interoperabilitetsförordningen (EU) 2024/903: EU-förordning om åtgärder för en hög nivå av interoperabilitet i offentlig sektor; refereras explicit i Diggs policy och riktlinje
• Standard for Public Code Community: gemenskapen för Standard for Public Code