Utfärdare: Björn Lundell Analys av DIGG:s policy för utveckling av programvara Analys av DIGG:s policy för utveckling av programvara Professor Björn Lundell, P !D. "oft#are "ystems $esearch Group %ögskolan i "kövde &jorn.lundell'his!se Förord Denna rapport presenterar en analys av DIGG:s policy för utveckling av programvara1 (Dnr. 2019-136). Den analys som redovisas i rapporten har genomförts av Dr. Björn Lundell, professor i datavetenskap vid %ögskolan i "kövde, inom ramen för ett oberoende uppdrag. Av dessa skäl ska rapportens inne 2ll, med alla eventuella felaktigheter och brister, inte uppfattas som något st1llningstagande från DIGG. Rapporten har utvecklats inom ramen för en analys som genomförts på uppdrag av DIGG utifrån ett av DIGG identifierat behov av att sakkunniggranska den policy för utveckling av programvara som publicerades den 5 maj 2019. Rapportens inne 2ll 1r t1nkt att kunna utgöra ett stöd för &2de DIGG och andra myndigheter som i sin myndighetsutövning, på ett eller annat s1tt, har behov av att förhålla sig till programvara, vilket inkluderar s2väl användning, anskaffning och utveckling (samt vidareutveckling) av programvara. De värderingar, st1llningstaganden oc rekommendationer som redovisas i rapporten tillskrivs författaren och ska inte uppfattas som något beslut av någon myndighet. I sammanhanget ska betonas att författaren har en l2ng bakgrund och erfarenhet av socio-teknisk forskning inom området datavetenskap, med betydande fokus på öppen programvara, öppna standarder och andra former av öppenhet från de senaste decenniernas forskning. 4ven om författaren bedrivit forskning i samverkan med juridisk expertis och från denna publicerat resultat som redovisar en rad juridiska utmaningar som relaterar öppen programvara i vetenskapliga fora, ska denna rapport inte uppfattas som en juridisk vägledning. Den analys som redovisas i denna rapport har berikats och influerats av erfarenheter från flera studier som genomförts i samverkan med flera personer inom ramen för flera forskningsprojekt som involverar internationell och nationell samverkan, däri&land tidigare studier som genomförts inom ramen för tidigare uppdrag av andra myndigheter i "verige. 6tifrån detta vill författaren passa på och tacka alla personer som, på olika s1tt, bidragit till att berika författarens erfarenheter och insikter som influerat viktiga utg2ngspunkter för den analys som redovisas i rapporten. Alla värderingar, st1llningstaganden och rekommendationer som redovisas i rapporten har utvecklats utifr2n författarens erfarenhet och uppfattning av underliggande utgångspunkter och behov av att kunna bedriva en tillitsfull och god förvaltning under den myndighets- utövning som genomförs inom en politiskt styrd organisation. Detta inkluderar alla typer av myndigheter, s2väl stora som sm2, samt oavsett huruvida en myndighet betraktas som IT- intensiv och oavsett huruvida en myndighet bedriver egen utveckling av programvara. 4ven om de värderingar, st1llningstaganden och rekommendationer som redovisas i rapporten presenteras som rekommendationer till myndigheter ska rapportens användning av &egreppet ’myndighet8 tolkas inkluderande och rapportens rekommendationer riktar sig därmed till alla typer av myndigheter, vilket inkluderar s2väl statligt styrda myndigheter, regioner som kommuner. Version: (!0 ( )96) 20 maj 2020 Utfärdare: Björn Lundell Analys av DIGG:s policy för utveckling av programvara Sammanfattning Denna sammanfattning presenterar en översikt av resultat och rekommendationer från den analys som genomförts av DIGG:s policy för utveckling av programvara* (Dnr! 2019-136). "ammanfattningen riktar sig till företrädare för DIGG och andra myndigheter som har inflytande över beslut som påverkar den egna myndighetens (och andra organisationers) policys, strategier och praktik för anskaffning, utveckling, användning, förvaltning och tillgängliggörande av programvara. DIGG:s policy 1nvisar explicit till tre olika licenser för öppen programvara.: BSD 2-Clause, Apac e och GPL. Det finns flera versioner av GPL som alla har olika effekter. Policyn inne 2ller en referens till GPL som kan uppfattas utgöra en inkluderande referens som omfattar alla versioner av licenser inom den familj av licenser som ibland, övergripande, refereras som GPL (eller som General Public License). Licenser inom GPL-familjen kan övergripande delas in i tre typer, som alla har olika effekter, när de används. Följande tre typer av licenser ur denna familj har alla olika egenskaper och effekter: LGPL (Lesser General Public License), GPL )General Public License) och AGPL (Affero General Public License). Dessutom har flera versioner av dessa licenser publicerats, däribland: LGPL version 2.1, LGPL version 3.0, GPL version 2.0, GPL version 3.0 och AGPL version 3.0. Det finns m2nga aspekter som en myndighet behöver beakta då en myndighet, på något s1tt, har behov av att engagera sig med och förhålla sig till utveckling och anskaffning av programvara. ;2got förenklat kan DIGG:s policy s1gas identifiera två olika principiella situationer för en myndighet som behöver fatta beslut avseende utveckling och anskaffning av programvara. Den första principiella situationen där en policy kan ge viktig vägledning avser en situation då en myndighet har behov av att anskaffa eller bidra till vidareutveckling av ett redan etablerat programvaruprojekt som tillhanda 2ller öppen programvara. I denna situation behöver myndigheten ta st1llning till en rad frågor som inkluderar analys av under vilka licenser och villkor som öppen programvara till anda 2lls av det etablerade programvaru- projektet. Denna analys behöver värdera olika möjligheter för att anskaffa och vidareutveckla en redan etablerade programvara, vilket inkluderar flera st1llningstaganden avseende eventuell upphandling och utveckling. Det ska betonas att s2väl upphandling som utveckling kan (helt eller delvis) genomföras i en myndighets egen regi, men 1ven (helt eller delvis) i extern regi. <xempelvis kan en myndighet upphandla vidareutveckling av förbättringar eller anpassningar av en redan etablerad öppen programvara som genomförs av externa parter. Den andra principiella situationen där en policy kan ge betydelsefull vägledning avser en situation då en myndighet har behov av att etablera ett nytt programvaruprojekt som ska tillhanda 2lla öppen programvara för att tillgodose myndighetens behov. 4ven i denna situation behöver myndigheten ta st1llning till en rad frågor som inkluderar hur programvaruprojektet ska styras, etableras och förvaltas, men också en l2ng rad frågor avseende under vilka villkor och licenser som öppen programvara kan och ska tillhanda 2llas från programvaruprojektet. :rågor att ta st1llning till inkluderar i vilken utsträckning det vid etablering av nya programvaruprojekt 1r av vikt för en myndighet att skapa incitament för en god förvaltning och vidareutveckling av det nya projektet. =idare 1r frågor om val av licens som skyddar samt stimulerar och ger incitament för fortsatt öppenhet nya och eta&lerade programvaruprojekt som till anda 2ller öppen programvara. Det kan noteras att den Version: (!0 * )96) 20 maj 2020 Utfärdare: Björn Lundell Analys av DIGG:s policy för utveckling av programvara organisation )>pen "ource Initiative?) som etablerat och förvaltat definitionen för öppen programvara nu rekommenderar att nya programvaruprojekt som ska tillhanda 2lla öppen programvara väljer en popul1r5 (välanvänd) licens för öppen programvara som inne 2ller goda patentklausuler. Det kan konstateras att patent som belastar programvara idag 1r ett betydligt större problem 1n det var under förra seklet då viktiga organisationer som i hög grad influerat hur individer och organisationer idag arbetar med programvaruutveckling etablera- des, som :ree "oft#are :oundation (etablerad 1984) och >pen "ource Initiative (etablerad 1998). 6tifrån detta redovisar denna rapport rekommendationer som syftar till att vägleda en myndighet vid val av l1mplig licens då ett nytt programvaruprojekt ska etableras där syftet 1r att tillhanda 2lla en öppen programvara. Relaterat överväganden avseende licenser identifieras ett antal frågest1llningar som myndigheter behöver beakta för att kunna fatta informerade strategiska beslut. :rågor om myndighetens överväganden avseende vikten av att skydda fortsatt öppenhet för myndighetens investeringar i nyutvecklad och vidareutvecklad programvara 1r relevant i &2de det första och andra principiella scenariot. I &2da dessa situationer finns det, i m2nga fall, starka skäl att inventera om det 1r (tekniskt och juridiskt) möjligt att 2teranv1nda redan existerande öppen programvara. =idare behöver en analys göra av huruvida programvaran utvecklats av ett programvaruprojekt som har en god förvaltning och där distribuerad öppen programvara 2ller god kvalitet. Då en myndighet vidareutvecklar ett befintligt programvaru- projekt eller eta&lerar ett nytt programvaruprojekt finns det, i m2nga fall, starka skäl att 2teranv1nda redan existerande komponenter (byggblock) av redan existerande öppen programvara. Det kan m2nga gånger vara tekniskt och licensm1ssigt möjligt (och ofta l1mpligt) att 2teranvända komponenter vid vidareutveckling av redan existerande program- varuprojekt och även vid nyutveckling och etablering av ett nytt programvaruprojekt. Det ska betonas att det, i vissa scenarier beroende på behov, 1ven kan finnas mycket starka skäl att avstå från att återanvända redan existerande öppen programvara. <tt scenario då en komponent inte kan (och inte ska) 2teranvändas uppst2r då licensen (eller licenserna)