Standarder, specifikationer och principer
Syfte: Översikt över standarder, specifikationer och ramverk som checklistorna bygger på. För operativa checkpunkter, se respektive checklista.
Diggs styrande dokument
Checklistorna konkretiserar och kompletterar:
- Digg: Policy för öppen programvara (Dnr 2026-02796, beslutad 2026-04-07, giltig t.o.m. 2029-03-26)
- Digg: Riktlinje för öppen programvara (Dnr 2026-02797, beslutad 2026-04-07, giltig t.o.m. 2029-03-06)
Riktlinjen anger explicit att checklistor och mallar ingår som stöddokument: “Som komplement till riktlinjen finns detaljerade rutiner samt stöddokument – checklistor och mallar som beskriver hur olika moment ska genomföras i praktiken.”
Sex principer (ur policyn)
- Öppenhet: insyn i tekniska lösningar och processer bygger förtroende. Begränsningar ska bara ske om det krävs av personlig integritet eller säkerhet, och då i nödvändig omfattning.
- Återanvändbarhet: gemensamma investeringar ger effektivitet. Diggs lösningar ska utformas så att de kan återanvändas.
- Att bidra: aktivt deltagande i öppna samarbeten stärker både egen rådighet och offentlig sektor i stort.
- Säkerhet: insyn ökar förmågan att hantera sårbarheter; egen drift minskar sårbarhet i kris; rådighet över koden möjliggör säkerhetsåtgärder över livstiden.
- Öppna standarder: interoperabilitet och minskad inlåsning; frihet att byta leverantörer.
- Transformation: gemensam digital förvaltning kräver öppenhet som grund och ständig förbättring genom delning av kunskap.
Två huvudflöden + gemensamma ramar (ur riktlinjen)
Riktlinjen beskriver arbetet i två flöden plus gemensamma ramar:
| Flöde | Aktiviteter |
|---|---|
| Använda och anskaffa | Livscykelhantera, Anskaffa öppen programvara |
| Utveckla och publicera | Livscykelhantera, Utveckla, Publicera, Hantera bidrag |
| Gemensamma ramar | Säkerhet genom hela livscykeln, Licenser och kompatibilitet, Dokumentation/rutiner/projekthälsa |
Ansvarsmodell
- Avdelnings- och verksamhetsansvarig chef (informationsägare): övergripande ansvar för efterlevnad inom den egna verksamheten.
- Systemägare / verksamhetsansvarig enhetschef: programvara hanteras enligt riktlinjen; risker, licenser, beroenden, säkerhet följs upp.
- Operativt team: dagligt arbete med kod, beroenden, ärenden, externa bidrag, dokumentation.
Licensspecifikationer
REUSE-specifikationen: tydlig och standardiserad licensefterlevnad.
→ Se: Licensval och licenskompatibilitet, Förberedelse inför publicering
ISO/IEC 5230 (OpenChain): Open Source License Compliance.
→ Se: Publicering och förvaltning
SPDX (ISO/IEC 5962): License- och SBOM-format.
→ Se: Licensval och licenskompatibilitet, Säkerhet
EUPL 1.2: European Union Public Licence; juridiskt bindande på svenska, hanterar SaaS, kompatibel med flera medlemsstaters lagstiftning.
→ Se: Licensval och licenskompatibilitet
Incheckning och versionshantering
Conventional Commits: strukturerad projekthistorik.
→ Se: Förberedelse inför publicering
Keep a Changelog: användarvänlig releasehistorik.
→ Se: Förberedelse inför publicering
Semantic Versioning 2.0.0: konsekvent versionsnumrering.
→ Se: Förberedelse inför publicering
Community och samarbete
Contributor Covenant: uppförandekod för respektfullt och inkluderande samarbete.
→ Se: Hantering av ärenden, frågor och externa bidrag
Developer Certificate of Origin (DCO): bidragsgivare intygar rätt att bidra.
→ Se: Bidrag uppströms
TODO Group: OSPO-praxis och policymallar.
→ Se: Bidrag uppströms
Säkerhet och kvalitet
OpenSSF OSPS Baseline: minimum av säkerhetskontroller på tre mognadsnivåer. (Riktlinjen anger explicit att rekommendationer från OpenSSF ska användas där det är relevant.)
→ Se: Säkerhet, Arbete på kodsamverkansplattform, Förberedelse inför publicering
OpenSSF Concise Guide for Developing More Secure Software: 29 praktiker för säker mjukvaruutveckling.
→ Se: Säkerhet, Arbete på kodsamverkansplattform
OpenSSF Scorecard: bedöma och förbättra säkerhetshälsa.
→ Se: Säkerhet
Sigstore: signering av artefakter (cosign) och provenance.
→ Se: Säkerhet
SLSA: Supply-chain Levels for Software Artifacts.
→ Se: Säkerhet
ISO/IEC 18974: Security Assurance.
→ Se: Säkerhet
ISO/IEC 27001/2: informationsklassning och informationssäkerhet.
→ Se: Säkerhet
OWASP ASVS: Application Security Verification Standard. (Riktlinjen anger explicit OWASP som referensram.)
→ Se: Säkerhet
OWASP Cheatsheets och OWASP Software Developer Guide.
→ Se: Säkerhet
CycloneDX: SBOM-format, alternativ till SPDX.
→ Se: Säkerhet
SAFECode Fundamental Practices for Secure Software Development
→ Se: Säkerhet
CNCF Security TAG – Software Supply Chain Best Practices
→ Se: Säkerhet
Metadata och upptäckbarhet
PublicCode.yml-specifikationen: metadata-indexering för bättre upptäckbarhet.
→ Se: Förberedelse inför publicering
Standard for Public Code: 16 kriterier för kvalitet och hållbarhet i offentlig kod.
→ Se: Förberedelse inför publicering, Säkerhet, Hantering av ärenden, frågor och externa bidrag
Regelverk och förordningar
Interoperabilitetsförordningen (EU) 2024/903: EU-förordning om åtgärder för en hög nivå av interoperabilitet i offentlig sektor. Refereras explicit i Diggs policy och riktlinje.
→ Se: Anskaffning
European Interoperability Framework (EIF): rekommendationer för interoperabilitet.
→ Se: Anskaffning
SOU 2009:86: Strategi för myndigheternas arbete med e-förvaltning. Definierar öppna standarder för upphandling.
→ Se: Anskaffning
Tryckfrihetsförordningen (1949:105): allmänna handlingar.
→ Se: Diarieföring och arkivering
Offentlighets- och sekretesslagen (2009:400)
→ Se: Diarieföring och arkivering
GDPR / Dataskyddsförordningen: när personuppgifter förekommer i öppen kod, ärenden eller ändringsförfrågningar.
→ Se: Diarieföring och arkivering, Säkerhet
Externa resurser och community
Utbildning och kunskap
- opensource.guide: utbildning i öppen programvara
- EU-kommissionens Open Source Strategy: refereras i policyn
Svensk offentlig sektor
- diggsweden/open-source-project-template: implementeringsmall
- NOSAD (Nätverk för Open Source And Data): vägledning, mallar, strategiska dokument
- Kammarkollegiets vägledning för avrop från Programvaror och tjänster: allmänt avropsstöd
- Kammarkollegiets Kravkatalog för Programvarulösningar: operativ regel om OSI-krav i sektion 7.5
- Inköpsrådets artikelserie: upphandling och öppen programvara
- offentligkod.se: katalog över öppna programvaror
- Sveriges dataportal: community-forum för offentlig sektor
Internationella resurser
- EU Open Source Solutions Catalogue
- Joinup: EU:s plattform för öppen programvara och interoperabilitet
- Foundation for Public Code