Retningslinjen skal sikre at publisering og forvaltning av åpen kildekode skjer på en trygg, strukturert og bærekraftig måte, i tråd med virksomhetens verdier og sikkerhetskrav.
Åpen kildekode har mange fordeler, for eksempel:
- Høyere kvalitet – eksterne tilbakemeldinger og feilrapportering forbedrer koden og dokumentasjon.
- Bedre samarbeid og innovasjon – flere utviklere kan bidra med forbedringer og nye ideer.
- Økt transparens og tillit – gir innsyn i hvordan systemene fungerer.
- Styrket sikkerhet – flere kan oppdage og fikse sårbarheter.
- Etisk og juridisk ansvar – offentlig sektor kan vise åpenhet og ansvarlighet.
- Sparing av ressurser – gjenbruk av eksisterende løsninger i stedet for å bygge fra bunnen av.
- Konkurransefortrinn – forbedrer omdømmet og tiltrekker talentfulle utviklere.
All kode må gjennom en dokumentert sikkerhetssjekk før den gjøres offentlig. Koden skal ikke inneholde sensitiv informasjon eller interne systemdetaljer. Dette inkluderer også kodehistorikken, alle tidligere commits, som kan være synlig. Ansvarlig team og kontaktperson må være definert.
Hvert team må ha ansvar for videre vedlikehold og sårbarhetsoppfølging. Det må være krav til hvor raskt sårbarheter skal håndteres – maks 10 virkedager. Sikkerhetssenteret skal kunne følge opp team som ikke håndterer svakheter som rapporteres.
Alle åpne repositorier skal inkludere en LICENSE-fil med MIT-lisensen. Dette gir brukere og bidragsytere tydelig oversikt over rettigheter og forpliktelser.
Alle repositorier må ha en forklarende README-fil som beskriver hensikten med repositoriet.
Vi benytter etiske regler basert på Contributor Covenant for å sikre et inkluderende, respektfullt og konstruktivt bidragsmiljø. Reglene gjelder både interne og eksterne bidragsytere.
Eksterne må ha en tydelig kanal for å rapportere sikkerhetsfunn se SIKKERHET.
All informasjon du trenger for å komme i gang finner du i vår interne utvikler håndbok.
Kilde som brukes til inspirasjon: