W historii europejskiego open-source nie brakowało wzlotów i upadków, ale rzadko który przykład tak dobitnie pokazuje zmianę myślenia w Brukseli, jak historia projektów FOSSA i FOSSEPS.
Wszystko zaczęło się od programu FOSSA (Free and Open Source Software Auditing), który miał jeden cel: sprawdzić bezpieczeństwo otwartego systemu używanego w instytucjach UE.
Był to efekt głośnej dyskusji po podatności Heartbleed, gdy okazało się, iż cały świat korzysta z OpenSSL, ale prawie nikt go nie finansuje!
Druga edycja programu EU FOSSA 2 ruszyła w 2017 r. i trwała do 2020 r. Zrealizowano audyty, konkursy bug bounty, a także przegląd narzędzi używanych w Komisji Europejskiej. Niestety po zakończeniu tej fazy i opracowaniu końcowych wniosków nie przyznano środków na kontynuację. Oficjalnie priorytety przesunięto na inne programy cyfrowe. Nieoficjalnie można powiedzieć, iż projekt był zbyt „techniczny” jak na realia unijnej biurokracji. W efekcie FOSSA 2 upadło, choć jej raporty i metodologia do dziś są cytowane przez Open Source Obvservatory i Interoperable Europe.
Nowy FOSSEPS to powrót do idei i katalog systemu open source w Europie
W 2023 r. pojawił się nowy projekt FOSSEPS (Free and Open Source Solutions for European Public Services). Formalnie to inicjatywa Komisji Europejskiej wspierana przez Joinup i program ISA, ale w praktyce wydaje się, iż to reaktywacja FOSSA, tylko w szerszym zakresem.
Celem FOSSEPS jest nie tylko audyt bezpieczeństwa kodu, ale budowa kompletnego katalogu rozwiązań open source wykorzystywanych w administracji publicznej państw członkowskich. Taki katalog powstał w marcu 2025 roku i jest czymś w rodzaju „rejestru otwartego systemu UE”, który ma pomóc:
- identyfikować zależności i ryzyka w kodzie,
- ułatwić współdzielenie rozwiązań między instytucjami,
- zwiększyć odporność cyfrową administracji.
Pośród systemu open source używanego przez przez instytucje unijne, ale nie tylko, można wymienić kilka bardziej popularnych:
- Matomo: alternatywna dla Google Analytics, którą także używamy w AVLab,
- GitLab: platforma online do zarządzania kodem oprogramowania,
- NextCloud: chmura plików do własnego hostowania,
- GlobaLeaks: rozwiązanie rekomendowane przez AVLab dla sygnalistów,
- OpenDesk: wymiana dokumentów, kontaktów, kalendarzy itp. stworzona dla instytucji unijnych do dowolnego wykorzystania,
- Audacity: oprogramowanie do obróbki audio,
- OpenTalk: rozwiązanie do rozmów wideo,
- Open Smart City App: oprogramowanie na urządzenia mobilne dla miast i mieszkańców i wiele, więcej oprogramowania.
Polski portal rządowy również wspominał o projekcie FOSSEPS, wskazując, iż ma łączyć audytowanie, testowanie i katalogowanie systemów open source wykorzystywanych przez instytucje UE.
Ogólnie w założeniach projektu planowana jest też kooperacja z prywatnymi podmiotami w celu poprawy bezpieczeństwa infrastruktury opartej na otwartym oprogramowaniu, a jego efekty mają zostać opublikowane w ramach programu Interoperable Europe.
FOSSEPS wpisuje się w szerszy trend, bo z niego wyrosło EU Sovereign Tech Fund oraz NGI Zero Commons Fund. Pierwszy projekt uczy, iż audyt to za mało, a drugi iż trzeba inwestować i robić to wspólnie w Europie. Do tej pory w ramach tych inicjatyw wsparto kilka kluczowych projektów:
Fundusz Sovereign Tech Fund od początku działania (2022) wsparł ponad 60 projektów łączną kwotą ponad 24,6 mln Euro. Z kolei Fundusz NGI Zero Commons Fund na lata 2024-2027 ma budżet 21,6 mln Euro na granty R&D dla projektów typu open-source i open-hardware.
Jeśli wszystko pójdzie zgodnie z planem, to FOSSEPS przyniesie w 2026 rozszerzenie katalogu o kolejne rozwiązania. Założenie jest dobre i może to być coś w rodzaju centralnej mapy systemu z otwartym kodem używanym przez państwa członkowskie. I to może być duży krok ku realnej transparentności i bezpieczeństwa łańcucha dostaw systemu w Europie.
Koniec końców okazało się, iż FOSSA 2 nie przetrwało, ale idea tak. Dzisiejsze fundusze UE, raporty i programy nie powstałyby bez tamtych pierwszych prób sprzed kilku lat. Niewykluczone też, iż Europa bardzo powoli uczy się, iż bezpieczny open source potrzebuje wsparcia, inwestowania w rozwój kodu i utrzymania, co jest tak samo ważne, jak tworzenie nowych technologii.
