Open source biedt kansen, organiseer het goed

Het is niet overdreven om te stellen dat nagenoeg alle organisaties, overheden en bedrijven, wereldwijd, voor een deel afhankelijk zijn van open source software. Het wordt overal voor gebruikt, van content management systemen om websites te onderhouden tot software die het internetverkeer reguleert. Apache is een voorbeeld van open source software. Dit wordt gebruikt voor webservers, zo’n 30% van alle websites wereldwijd werkt met Apache. Apache was eind vorig jaar in het nieuws, omdat er een ernstige kwetsbaarheid in de software werd ontdekt. De groep vrijwilligers die de software onderhoudt, dichtte het lek. Organisaties die Apache gebruiken, sloten tijdelijk hun systemen af en moesten razendsnel de update installeren. We zullen waarschijnlijk nooit weten hoeveel aanvallen er precies wereldwijd zijn uitgevoerd die misbruik probeerden te maken van deze kwetsbaarheid.

Ik gebruik dit voorbeeld om te laten zien dat open source software naast overduidelijke voordelen ook risico’s kent. Nu gemeenten met Common Ground open source als model omarmen, lijkt het mij goed om daar aandacht aan te geven. Nog één keer Apache als illustratie: duizenden IT’ers wereldwijd werken als vrijwilliger aan Apache, slechts een tiental experts houdt zich bezig met de beveiliging ervan. Dan heb je het over software die wereldwijd massaal wordt gebruikt. Vergeleken daarbij is de lokale overheidsmarkt in Nederland piepklein. Als voor Apache een klein team beveiligingsexperts beschikbaar is, dan is het organiseren van continuïteit en veiligheid in software voor de lokale overheid in Nederland een belangrijk aandachtspunt. Ik zeg niet dat het niet kan, maar pleit er wel voor om dat heel goed te organiseren.

We werken nu in de markt voor de lokale overheid met een model waarin de meeste leveranciers de software ontwikkelen en onderhouden. De klanten (lokale overheden) betalen daarvoor en zij weten dat de kwaliteit gewaarborgd is en blijft. Als je dat volgens het communitydenken van open source gaat organiseren, wie doet dan wat? Gebeurt het op tijd? Wie zorgt ervoor dat de software veilig en up-to-date blijft? Dat soort governance zul je moeten organiseren, wanneer je volgens het open source-model wilt gaan werken.

Als Centric bouwen we mee aan Common Ground. We zien zeker de voordelen van deze manier van werken, maar zien ook een aantal punten waarvoor we aandacht vragen in ons recente position paper. De governance rond open source is zo’n aandachtspunt. Zo pleiten wij ervoor om niet alleen geld te reserveren voor het ontwikkelen van software, maar ook voor het beheer en onderhoud.

Om ervoor te zorgen dat software voor de lokale overheid op een succesvolle manier wordt ontwikkeld en gebruikt kan blijven worden, zul je afspraken over de governance moeten maken. Je hebt een opdrachtgever en een opdrachtnemer nodig. Je kunt er dan voor kiezen om gezamenlijk geld bij elkaar te leggen, om gezamenlijk software te ontwikkelen. Daarnaast dient voldoende budget te worden gereserveerd waarmee een partij, de opdrachtnemer, de software kan onderhouden en fouten en kwetsbaarheden eruit kan halen. Of je kiest ervoor dat de ontwikkelde software wordt doorontwikkeld, zodat je meer functionaliteit krijgt en nieuwe standaarden ook ondersteund worden.

Als je het op deze manier organiseert, dan kun je blijven ontwikkelen op de open code, maar het kernproduct wordt onderhouden door een partij, de opdrachtnemer. Die bewaakt de kwaliteit en zorgt dat nieuwe functionaliteit op een gecontroleerde en veilige manier wordt toegevoegd. Die versie is dan gegarandeerd: die wordt gepatcht, getest en beheerd.
Centric wil met gemeenten, de VNG en andere marktpartijen graag stappen maken om ook het beheer van gezamenlijke, open source componenten op een dergelijke manier vorm te geven.

In de wereldwijde open sourcebeweging zie je dat software die op een gegeven moment door veel organisaties wordt gebruikt, wordt geadopteerd door een leverancier die ervoor zorgt dat de kwaliteit gewaarborgd blijft. Andere leveranciers kunnen er dan nog steeds verder aan bouwen en de code kan gebruikt worden om nieuwe producten mee te maken. Ik denk dat we binnen Common Ground naar zo’n soort constructie zullen groeien. Op die manier krijgen gemeenten vertrouwen in de kwaliteit van de software, terwijl ze tegelijkertijd de vrijheid hebben in hun keuze van leverancier. Dat geeft een heel ander soort samenwerking met de markt. Zover zijn we nog niet, maar het zou die kant op kunnen gaan. Ik hoop het, want we zullen iets moeten organiseren rondom de governance om open source een succes te laten worden.