我們在每日的生活及工作中，使用軟體安排行程、點餐、購物、視訊會議來完成工作，正當我們享受軟體帶來的便利時，你可曾注意過開啟的這些軟體是否安全?

現代軟體產業開發高度依賴「開源軟體」，而大多數的企業都是直接拿來使用，因此潛藏許多未知的資安風險。2021年12月Apache為Java程式提供日誌紀錄Log4j被公佈嚴重的安全漏洞，許多大型軟體公司如蘋果、Cisco、亞馬遜、Google上百萬個應用程式使用者都受害，此事件再度引發大眾對開源軟體安全性高度重視。

目前在開源的生態中依然存在諸多問題，這些問題若沒有妥善解決，台灣的軟體產業發展將嚴重受到挑戰，軟體產業就沒有明天。

開源軟體發展受挑戰，應用上關鍵問題有哪些？

隨著開源軟體的普遍使用，許多企業都習慣使用開源軟體來開發公司內部的應用服務與平台，當我們享受開源軟體帶來的便利，其中隱藏諸多的問題：

1. 開源授權與引用的問題：在開源程式碼使用實務上，因為對於開源程式碼使用規範不清楚，而觸犯授權規定的狀況，造成開源軟體開發者與使用者對煩雜的授權規定感到畏懼。另外是軟體供應商在產品中引用了那些開源程式碼，並不一定會揭露於採購合約中，使得使用者普露在未知的風險之中。

2. 開源軟體資安的問題：開源軟體藉由社群發展，由於審核機制較為開放，容易被有心人士植入後門，且不容易及時發覺，因此潛在諸多的資安風險。企業在運用開源軟體時，需要制定一套完整的開源安全與檢測策略來管理公司內部的開源軟體，負擔龐大的維護成本。

3. 開源程式漏洞與修復問題：公司採用開源軟體開發的過程，要能掌握開源軟體的漏洞，並越早從產品開發週期中移除漏洞，否則將會提高產品開的與維護的成本，企業要維護跟追蹤開源代碼的漏洞是一項非常困難的工作。

4. 開源人才不易取得的問題：我們都知道開源軟體對軟體產業的重要，但大多數人還是停留在開源是免費的傳統觀念，開源軟體的價值無法提升，投入的學生越來越少，使得開源軟體人才嚴重不足，因此造成產業對開源軟體卻步。

不能捨棄開源軟體嗎？與台灣產業創新已密不可分

也許有人會問，台灣產業需要開源軟體嗎？這個問題的答案是肯定的。近年來在大數據應用與人工智慧的驅動之下，我們看到台灣軟體產業投入開發相關的開源應用，例如協助製造業者在升級智慧製造的過程中，需要快速掌握與最佳化設備運作、預測性維護與設備排程等，運用開源軟體可以達成敏捷且低成本的優勢。再者，我們可以發現許多台灣新創團隊相繼投入區塊鏈、NFT與元宇宙新興技術的研發，運用開源軟體敏捷快速的特性，正好可以加速台灣產業的創新應用，協助產業數位轉型。因此，開源軟體已成為產業快速創新不可或缺的要素之一，而開源共創的合作模式亦促成產業之間的跨域合作。

重視開源軟體環境問題，完善法規制度、人才培育

有鑑於開源軟體生態所面臨的問題，以及對產業的重要性，中華軟協於2020年成立開放軟體產業生態系聯盟(Open Software Ecosystem Alliance, Open SEA)與資策會共同推動國內友善開源環境，期望透過促進會的運作，對法規制度調適、開源檢測工具、及人才培育等方面的協調與整合，致力提升企業開源創新的能力與建立跨域共創的開源服務生態：

• 好用的開源：開發開源軟體授權規範的驗測工具，扮演第三方檢測的角色，讓開發者可以得到最好的支援，避免誤觸相關法令。

• 安心的開源：發展開源軟體資安驗測共通服務，防範開源軟體開發的資安危害與降低使用者採用風險。

• 問題有解方：連結產、官、學、研共同來解題，協助產業尋求解決管道。

• 鼓勵開源創新：培育新創人才，鼓勵多運用開源軟體回饋社群，投入開源軟體創新應用作品，活化開源生態系環境。

讓我們集結眾力來打造一個開源應用支援的服務生態，讓軟體創作者可以安心、讓需求方可以找到解答。