Öppen källkod har kommit att ta över världen, nästan utan att någon har märkt av förändringen.

För tjugo år sedan sa Microsoft att öppen källkod (open source) är en cancer som ska förgöras. Det fria operativsystemet Linux började vinna mark i en oanad takt, vars kod var helt öppen för vem som helst att använda och förbättra. Öppen källkods grundprinciper hade börjat göra sig gällande — att alla tjänar på att dela med sig av smarta och välfungerande kodlösningar. En knäspark mot marknadskrafternas grundvalar. Utvecklingen kom till slut ikapp mjukvarujättens självbelåtenhet och ironiskt nog bygger mycket av Microsofts lösningar idag på öppen källkod, dessutom äger de världens mest omfattande open source-plattform — GitHub.

Öppen källkod har kommit att ta över världen, nästan utan att någon har märkt av förändringen. Facebook, Google, Microsoft, Bank-ID, WordPress, interna system, appar och olika digitala tjänster — så fort vi tar upp mobilen eller datorn använder vi sammansatta klossar ur denna öppna verktygslåda. 

Vi träffade Daniel Wisenhoff, vd och medgrundare av Debricked — malmöföretaget som nu kliver in på världsscenen med sina lösningar för att säkra mänsklighetens digitala legobyggen från kollaps. 

Vi gör det som är fett.

Vad känner du varje morgon när du gnuggar ögonen och kliver in här på kontoret?

— Jag känner mig taggad. Vi har ett talesätt bland våra co-founders att när någonting känns fett, är det rätt. Ett motto för många beslut vi tar: vi gör det som är fett. Skulle det skita sig, gav den ”feta” resan ändå mest.

Vad är fett?

— För oss innebär det att bli utmanade, jobba med roliga saker, duktiga människor och med stora intressanta organisationer i världen — att helt enkelt få göra saker som för vårt ålderspann är ganska orimliga. Summan av detta gör att det blir just ”fett”.

Varför heter ni Debricked?

— Namnet kommer från begreppet att en mobiltelefon kan bli ”bricked”. Förr när man trixade med sina mobiltelefoner för att på olika sätt låsa upp dem, kunde man senare få meddelandet ”Your phone is bricked” — med andra ord att den är lika användbar som en tegelsten. Idén med vårt företag i sin linda var att vi skulle förhindra att saker blev ”bricked”. Därav Debricked.

Varje gång en utvecklare skriver något nytt, säkrar vi koden.

Beskriv vad ni håller på med hela dagarna. 

— Ok, på ”nivå ett” brukar jag säga så här: Vi hjälper våra kunder att utveckla mer säkra digitala produkter och tjänster.

Och på ”nästa nivå”…

— Vi skannar våra kunders kod, hittar eventuella problem och konstigheter och rapporterar detta. Sedan hjälper vi kunden i sin programmering av den mjukvara de utvecklar för att komma till rätta med problemen. En av våra kunder är Kry, de skannar hela sin kod med vår produkt varje dag, säkert flera tusen gånger — varje gång en utvecklare skriver något nytt, säkrar vi koden.

Och förklara för den som är teknikchef…

— Vi fokuserar på den delen av kundens källkod som är baserad på open source. Vi har en kopia på nästan all öppen källkod i världen och har skannat den på olika sätt. Det medför att vi kan matcha det kunden har med vår databas och med hjälp av vår programvara visa på hälso- och säkerhetsproblem samt olika typer av copyright- och licensproblem.

Vad är vinsten med öppen källkod?

— Att den är vinstmaximerande. Om du strategiskt ger tillbaka till den öppna källkod du använder, kommer du som företag att tjäna på det i längden. Du kan proaktivt påverka utvecklingen på den källkod du använder. Låt säga att du använder ett ramverk för din kod, om 5 år måste du kanske byta detta för att det föll ihop. Det blir väldigt dyrt. Men om dina utvecklare är med och kontinuerligt förbättrar ramverket, kanske du slipper byta.

Alla företag och människor använder alltså öppen källkod dagligen. Det innebär att den potentiella sårbarheten är ganska stor.

Nämn en risk med öppen källkod.

— Säg att du hittar en speciell kod som löser ditt specifika problem. Lockande. Men om den koden till exempel är byggd av några okända utvecklare i en källare någonstans och inte har ett brett användande inom programmeringsvärlden, finns en överhängande risk att koden plötsligt slutar att fungera en vacker dag på grund av bristande underhåll, obefintlig uppdatering liksom förbättringar. Detta leder till exempel till säkerhetsluckor i din slutprodukt. Dessutom kan den ursprungliga avsikten till och med ha varit att placera ut en säkerhetslucka.

Vem använder öppen källkod?

— Öppen källkod utgör idag den stora portionen av i stort sett all programkod. Alla företag och människor använder alltså öppen källkod dagligen. Det innebär att den potentiella sårbarheten är ganska stor. Ta Kry som ett exempel. Användargränssnittet är eget, men sedan har de en kod som syr ihop olika öppna källkoder som till exempel hur man loggar in, betalar, hur bilder och texter visas, vilka databaser som används och hur.

Är Bank-ID öppen källkod?

— Nja. Lösningen bygger troligtvis delvis på öppen källkod i grunden, men är sedan paketerad proprietärt. Bank-ID är komplex och består av många olika nivåer och är inte riktigt ett bra exempel på öppen källkod.

Om du skulle nämna ett bra exempel? 

— WordPress är ett bra exempel på öppen källkod.

WordPress borde alltså slå er en signal?

— Ja, det får de gärna göra. WordPress skulle kunna använda vår produkt för att göra WordPress mer säkert och bättre på många sätt. Men du själv som WordPressanvändare kan inte använda vår produkt för att göra din egen WordPressida mer säker.

Marknaden verkar vara enorm — varför är inte detta på allas läppar? 

— När vi startade 2015, som ett forskningsprojekt, då låg användarbasen av öppen källkod på bara cirka 20%. Sedan dess har det skett en explosion. Men från ett enskilt företags perspektiv har det mer börjat med en byggkloss, sedan en andra liten bit och därefter har det liksom rullat på. Många företag och organisationer är inte medvetna om hur stort problemet, för det har liksom krupit under radarn. Men det kommer nu.

En bransch i uppvaknande…

— En hel marknad! En del teknikchefer kommer tillbaka till mig och säger: Herre gud vad mycket öppen källkod vi har!

Det borde finnas många stora starka konkurrenter?

— De är inte många, färre än tio internationellt, beroende på vad man definierar som konkurrent.

Hur kommer det sig?

— Helt enkelt för att det vi gör är väldigt svårt. Oerhört svårt. Det är få som förstår exakt hur svårt det är. Man tar liksom bara inte några programmerare och bestämmer sig en solig morgon för att ta tag i Open Source Security. Det tar många år av forskning, resurser och utveckling för att komma dit vi är nu.

Vi var ett gäng glada amatörer i företagande. Våra styrelsemedlemmar och investerare såg till att det blev någonting av oss till slut.

Hur tog ni er hit?

— Grunden till det vi ser idag började redan 2015 som ett forskningsprojekt genom vår medgrundare Martin Hell, Associate professor i informationssäkerhet på LTH. Han såg tidigt säkerhetsaspekterna med öppen källkod och började forska på det. Då var jag student. Han behövde någon som kunde marknad, ekonomi, teknik. Forskningsprojektet fick 18 miljoner och det pågick under tre år tillsammans med Ericsson och Axis och en del andra företag.

Och hur kom ni ut från universitetet?

— Genom att LU Holding kom in i bilden sommaren 2018. De kom till oss och sa: Det ni gör är ganska spännande. Vi är till för er att hjälpa till med de jobbiga bitarna som att bilda bolag, juridik, grundaravtal, hitta styrelse med mera. Vi var ett gäng glada amatörer i företagande. Våra styrelsemedlemmar och investerare såg till att vi blev trovärdiga, att vi fokuserade på rätt saker, fick rätt kontakter — att det blev någonting av oss till slut.

Vad gav LU Holdings insatser? 

— Till att börja med fick vi några hundra tusen vilket gjorde att vi kunde sätta oss på Minc och komma vidare med att produktifiera forskningsresultaten. Och förbättra vår pitch! Redan vintern 2018 kunde vi ta in 5,3 miljoner — tack vare det nätverk som den nya styrelsen medförde, varav en slant kom från Almi Invest.

Hur fick ni riskkapitalister att förstå värdet av att säkra fri kod?

— Redan då hade användningen ökat till 50–60% öppen källkod, vilket pekade på att det fanns en tydligt växande marknad och ett stort marknadsbehov av den lösning vi skapade.

Jag minns i en av våra tidiga investeringsrundor att en av parterna ville se en mer reell budget. Då reagerade en av våra mentorer...

Vad var pitchen?

— I ett så tidigt stadie har man ingenting. Ungefär: Se på trenden, se på lösningen, se på teamet.

Men riskkalkylen… best case revenue och worst case revenue?

— Det är främst stora oflexibla investerare som vill se sådant. Och det tvingar enbart fram vilda gissningar såpass tidigt. Vi
hade ingen rimlig möjlighet att seriöst bedöma hur kostnadsstrukturen i vårt bolag skulle se ut ens två år framåt. Det man  egentligen frågar efter med den frågan är ”har ni potential att börja tjäna pengar snart och kan ni bli ett miljardbolag omsättningsmässigt”.

Jag minns i en av våra tidiga investeringsrundor att en av parterna ville se en mer reell budget. Då reagerade en av våra mentorer: ”Det visar bara på att de inte har koll på investeringar i den här fasen”. Det är bland annat sånt man har en bra styrelse för!

Vilket är det mest avgörande ögonblicket för er framgång?

— Det var när vi fick vår första storkund 2019 — Kry. Innan det hade vi enbart några mindre klienter. Att vara första storkund är alltid ett risktagande, men de är en mycket kompetent köpare och kunde tidigt se att våra lösningar skulle svara upp till deras behov. Framförallt fick de stort förtroende för teamet och såg oss som en långsiktigt partner.

Varför var detta avgörande? 

— Det medförde att vi kunde använda dem som referens i fortsatt försäljning, som gav andra kunder — och att vi senare kunde få in 18 miljoner i nytt kapital.

När kommer tillväxten?

— Nu. När vi började 2018 omsatte vi inget. Och det var egentligen först 2021 som det började hända grejer, då omsatte vi ungefär 1,5 miljoner. 2022 siktar vi på 10 miljoner och 2023 bör vi ligga på 30 miljoner. Det är nu vi ändrar balansen i affärsmodellen, nu behöver vi driva den kommersiella biten. Vi har idag cirka 25 kunder och dessutom 200–300 utvecklare som tecknar sig för våra tjänster varje månad, en frekvens som låg på ca 20 i januari 2021.

Utmaningen nu är om vi kan skala tillräckligt fort.

Vad är det svåraste i denna fas?

— Vi har investerare med höga ambitioner för bolaget, som vill att vi ska ta mark. Våra konkurrenter rör sig snabbt. Vi bränner pengar. Utmaningen nu är om vi kan skala tillräckligt fort, om vi kan få in pengar tillräckligt fort, om vi kan bygga omsättningen tillräckligt fort. Allt detta måste vara i fas.

Så att skala för er handlar just nu mest om att sälja?

— Ja, precis. Öka användarbasen. Men också att få den tekniska kapaciteten att hänga med så klart.

Så det hela är mest en volymjakt?

— Nej, det handlar också om att utveckla lösningar som skiljer sig från konkurrenternas, som skapar stort värde för de som vill bli guidade, känna sig säkra och effektiva när de ska välja och använda öppen källkod.

Hur gör ni det?

— Vi har precis byggt ett slags ”Prisjakt” för öppen källkod, där man kan fönstershoppa öppen källkod, skruva på parametrar och testa vad som skulle kunna passa.

Vi vänder på pyramiden — konkurrenterna definierar spelplanen som säkerhet, vi definierar spelplanen som öppen källkod.

Hur skiljer ni er från era konkurrenter?

— Vi vill gärna se oss själva som mittpunkten för öppen källkod. Vi vill vara de som hjälper företag att ta rätt beslut kring öppen källkod. Vi vänder på pyramiden — konkurrenterna definierar spelplanen som säkerhet, vi definierar spelplanen som öppen källkod.

Vilka är dina lyckönskningar om jag väljer en av era konkurrenter? 

— På kort sikt spelar det ingen större roll, du kommer ha ungefär samma lösning i form av att du säkrar ditt bygge av öppen källkod. Men på lite längre sikt innebär det att du med oss har en partner som hjälper dig hela vägen i ditt arbete med öppen källkod.

Men om jag och mitt företag bara vill ha säkerhet? 

— Om redan 80% av er kodbas är öppen källkod och den ska bli större, säkrare, effektivare, leverera bättre — då kanske ni ska satsa på någon som har öppen källkod som paraply där vi hjälper er att lyckas med det.

Inom 5 år tror vi att det kommer finnas en Gartnerrapport som heter ’Executive Summary on Open Source Management’

Hur kommer företag att prioritera denna fråga?

— Inom 5 år tror vi att det kommer finnas en Gartnerrapport som heter ”Executive Summary on Open Source Management”. Ungefär så. Idag finns den inte. Idag hamnar open source som en del av massa andra kategorier. Men om fem år kommer öppen källkod, precis som det blev med GDPR, hamna på vd:ns agenda. Detta på grund av att öppen källkod är en så stor del av ett företags produkt nu för tiden, eller till och med utgör fundamentet. Om du inte har rätt strategi för hur dina 200 programmerare jobbar med företagets kod och de jobbar lite fel, blir det ganska dyrt, rätt fort. I värsta fall försvinner du helt från spelplanen.

— Och tvärtom, det kan bli helt avgörande för företag i slaget mot sina konkurrenter att prioritera hur man arbetar med öppen källkod.