Oversikt over all koden dere ikke har skrevet selv — og at lisensene tillater det dere faktisk skal gjøre.
Hvorfor det er viktig
Moderne systemer består for det meste av tredjepartskode. Noen lisenser krever at din egen kode også må gjøres åpen; andre forbyr kommersiell bruk. Oppdages det etter lansering, kan konsekvensen bli å skrive om systemet.
Eksempel på kravformulering
Leverandøren skal levere en fullstendig oversikt over alle tredjepartskomponenter med versjon og lisens (SBOM), oppdatert ved hver leveranse. Komponenter med lisenser som er uforenlige med oppdragsgivers bruk skal ikke benyttes. Leverandøren garanterer at leveransen ikke krenker tredjeparts immaterielle rettigheter, og holder oppdragsgiver skadesløs ved krav.
Tilpass tallene til deres virkelighet — et krav du ikke kan begrunne, er et krav du ikke bør stille.
Slik verifiserer du det
Be om SBOM-en. Kan de ikke levere den, vet de ikke selv hva som er i produktet — og da kan de heller ikke vite om det er trygt. Kjør lisensskanning automatisk i byggeprosessen.
Fallgruver
Copyleft-lisenser (som GPL) i en kommersiell løsning dere vil holde lukket. Og å tro at «det er åpen kildekode, altså gratis og fritt» — lisensen bestemmer, ikke prisen.
AI-perspektiv
AI-generert kode kan gjengi opphavsrettsbeskyttet kode fra treningsdata. Avklar hvem som bærer risikoen, og krev at leverandøren står ansvarlig for leveransen uansett hvordan koden ble til.