Vad är öppen källkod och varför välja det?

Öppen källkod är programvara vars källkod är fritt tillgänglig att läsa, använda, ändra och dela vidare under en öppen licens som alla får granska. Organisationer väljer den för insyn, leverantörsoberoende och digital suveränitet.

Tre saker är värda att veta innan vi går djupare. Öppen källkod handlar 2026 mindre om kostnad och mer om kontroll. Säkerheten avgörs av hur koden förvaltas, inte av att den är öppen. Och EU flyttar nu in öppen källkod i lagtext genom Cyber Resilience Act.

Varför det spelar roll

Den gamla diskussionen om öppen källkod handlade om pris och kvalitet. Den frågan är avgjord. Linux driver merparten av världens servrar, PostgreSQL ligger under affärskritiska databaser och Kubernetes orkestrerar molnplattformar hos i princip varje hyperskalare.

Frågan har flyttat. För svenska och europeiska IT-ledare handlar öppen källkod nu om digital suveränitet. Det betyder förmågan att veta vad ett system gör, äga rätten att ändra det och slippa vara utlämnad till en leverantör under utländsk jurisdiktion. Oron för molnberoenden och extern lagstiftning, som amerikanska CLOUD Act, har gjort suveränitet till en strategifråga på ledningsnivå.

Enligt Red Hat anger 68 procent av organisationer i EMEA suveränitet som sin främsta IT-prioritet de kommande 18 månaderna, och 63 procent av de stora företagen pekar ut suveränitetsoro som det största hindret för molnadoption (Red Hat, “Sovereignty emerges as the defining cloud challenge for EMEA enterprises”, hämtad 2026-06-04). Det är en partsenkät från en open source-leverantör, men riktningen stämmer med vad vi ser hos våra kunder i offentlig sektor.

EU bygger nu regelverk runt detta. Cyber Resilience Act inför en helt ny juridisk kategori, open source software steward, en aktör som varaktigt stödjer utvecklingen av öppen programvara för kommersiellt bruk, och flyttar därmed öppen källkod in i lagtexten (källa: Europeiska kommissionen, “Cyber Resilience Act – Open source”, hämtad 2026-06-04). Rapporteringskraven för utnyttjade sårbarheter börjar gälla 11 september 2026, och samtliga krav träder i kraft 11 december 2027. Öppen källkod har blivit policy, inte bara teknik.

Den 3 juni 2026 antog kommissionen sitt teknologiska suveränitetspaket (EU Digital Sovereignty Package), en samlad uppsättning åtgärder för halvledare, AI, moln och öppen källkod. I paketet ingår en uttalad EU-strategi för öppen källkod, som placerar öppna alternativ till icke-europeisk proprietär programvara i centrum och som enligt kommissionen ska “minska beroendet av teknik från länder utanför EU” (källa: Europeiska kommissionen, “Strengthening Europe’s tech sovereignty”, 2026-06-03, samt digital-strategy.ec.europa.eu, “The EU Open Source Strategy”, hämtad 2026-06-04). För en CTO eller IT-chef är valet av öppen källkod därmed inte längre ett tekniskt detaljbeslut. Det är en del av hur organisationen förhåller sig till kommande lagkrav.

Hur det fungerar

Öppen källkod vilar på fyra praktiska rättigheter, fastställda i licensen. Ni får köra programvaran för vilket ändamål som helst. Ni får läsa källkoden och förstå exakt vad den gör. Ni får ändra den efter era behov. Och ni får dela den vidare, med eller utan era ändringar.

Det är licensen som gör koden öppen, inte att den råkar ligga publikt. Etablerade licenser som GPL, MIT och Apache 2.0 reglerar vad ni får göra och vilka skyldigheter som följer, till exempel om ändringar måste delas tillbaka. Open Source Initiative godkänner vilka licenser som räknas som öppna.

Utvecklingen sker oftast i en gemenskap. Underhållare granskar och godkänner bidrag, en process som gör att fel upptäcks av många ögon i stället för få. Det är styrkan. Det är också svagheten när ett kritiskt projekt vilar på en ensam volontär.

Den som bygger affärskritiska system på öppen källkod behöver därför en förvaltningsmodell. Den består av tre delar: en SBOM (Software Bill of Materials, en innehållsförteckning över alla komponenter ett system bygger på), löpande sårbarhetsbevakning och en rutin för uppdateringar. Det är den modellen som gör skillnaden mellan öppen källkod som risk och öppen källkod som tillgång.

När det passar

Öppen källkod passar när insyn och kontroll är viktigare än en färdig garanti från en enskild leverantör. Det gäller verksamhetskritiska system som ska leva i tio år eller mer, där ni inte vill vara utlämnade till en leverantörs prissättning och roadmap.

Den passar offentlig sektor särskilt väl. Kod som finansieras med skattemedel kan delas mellan myndigheter, och insynen i hur ett system behandlar medborgardata är ett krav i sig. Svenska Digg gick med i EU-kommissionens OSPO-nätverk sommaren 2022 (källa: NOSAD, Årskrönika 2022; EU-kommissionens Open Source Observatory), och nätverk som Swedish OSPO Network och NOSAD samlar offentlig sektor kring öppen källkod.

Den passar också när ni vill bygga vidare på en stor, mogen kodbas i stället för att börja från noll. Ett CMS som Drupal eller en analysplattform som Matomo ger er en beprövad grund som ni själva styr över.

När det inte passar

Öppen källkod är inte rätt svar för allt. Den passar sämre när ni saknar förmåga, egen eller inköpt, att förvalta koden. Fri programvara utan en plan för drift, säkerhet och uppdateringar blir snabbt en risk i stället för en tillgång.

Den passar sämre när ett projekt är omoget eller ensamt underhållet. Ett bibliotek med en enda inaktiv underhållare och ingen tydlig säkerhetsprocess är en svaghet oavsett hur öppen koden är. XZ-incidenten 2024 visade exakt den faran.

Och den passar sämre när ni behöver en certifierad funktion som bara en proprietär leverantör erbjuder. Då väger färdig garanti tyngre än insyn. Valet av öppen källkod ska vara ett beslut, inte en princip.

Konkret exempel

Den 29 mars 2024 upptäckte utvecklaren Andres Freund en bakdörr i XZ Utils, ett komprimeringsbibliotek som finns i praktiskt taget varje Linux-system (CVE-2024-3094). En angripare hade under mer än två år byggt förtroende i projektet och tagit över underhållet, för att till slut smyga in en bakdörr som var nära att nå världens servrar (källa: CISA, “Lessons from XZ Utils”, 2024).

Det avgörande är hur det upptäcktes. Eftersom koden var öppen kunde en enskild utvecklare granska den, reagera på en avvikelse och stoppa angreppet innan det spreds. Hade koden varit stängd hade ingen utomstående kunnat se vad som hände.

Men incidenten avlivade också en bekväm föreställning. Lärdomen, enligt amerikanska cybersäkerhetsmyndigheten CISA, är att under de välfinansierade projekten ligger ett lager av kritiska bibliotek som underhålls av en eller två obetalda volontärer. Varje organisation som tjänar på öppen källkod bör vara en ansvarsfull konsument och en hållbar bidragsgivare. Det är slutsatsen som styr hur vi själva arbetar med öppen källkod.

På Digitalist har vi byggt på och bidragit till öppen källkod sedan moderbolaget grundades 2004, drygt 20 år av att förvalta öppna stackar åt kunder. I dag driftar vi under vår tjänst Managed open source SaaS bland annat Matomo/RebelMetrics (GDPR-säker webbanalys), Keycloak (identitetshantering), Open WebUI/stacken.ai (AI-plattform) och Directus (headless CMS). Vår ISO 27001-certifiering för informationssäkerhet är ett konkret bevis på att förvaltningen är satt i system, inte improviserad.

Vanliga missförstånd

“Öppen källkod är gratis.” Licensen är fri, men programvaran är inte kostnadsfri att driva. Ni betalar för drift, säkerhet, anpassning och support i stället för för en licensavgift. Vinsten ligger i kontrollen och frånvaron av inlåsning, inte i en nolla på fakturan.

“Öppenhet är en säkerhetsrisk.” Att hemlighålla källkod ger ingen verklig säkerhet, det skjuter bara upp upptäckten av felen. Öppenhet gör att problem kan hittas av oberoende granskare. Risken sitter i underfinansierad förvaltning, inte i öppenheten.

“Inget professionellt stöd finns.” Det finns en hel marknad av kommersiella leverantörer som ger support, drift och garantier för öppen källkod. Företag investerar miljoner i de stora projekten just för att de är affärskritiska. Stödet finns, det ser bara annorlunda ut än en enda licensgivares supportavtal.

Öppen källkod är inte en ideologi att tro på, utan en infrastruktur att förvalta. Väljer ni den med insyn i licens, gemenskap och förvaltning blir den grunden för en digital handlingsfrihet ni faktiskt äger.