歐洲社群在關注什麼開源政策?FOSDEM 2025 觀察手札
FOSDEM(歐洲自由與開源軟體開發者年會)向來是全球開源趨勢的風向球。今年 OCF 出訪夥伴帶回來兩大觀察:在安全與永續政策面,以及在合規與社群協作面。
在安全與永續政策面,歐盟甫上路的《網路韌性法》(CRA)規定,所有連網產品都須附上軟體組成清單(SBOM),讓供應鏈一目了然。草案最初將責任推給維護者,經社群奔走後修正為「企業負責、公益專案豁免」,討論仍持續拉鋸,今年也回到「開源本質與維護者角色」等精神層面的反思。同時,為了配套落地,OpenSSF 推出自動產生 SBOM 與漏洞通報工具;歐盟亦擴編政府 OSPO,並成立「主權科技基金」,以法律促透明、以資金保韌性,確保關鍵專案長期有人維護。
在合規與社群協作面,SBOM 因 CRA 成為今年 FOSDEM 的熱搜詞,甚至首度獨立成議程軌。會中從格式標準、工具產生到即時通報機制全面討論,強調「社群訂規則、企業做落地」,並透過自動化流程減輕維護者負擔。多國 OSPO 亦分享跨部會協作案例:德國讓政府、基金會與社群共用 SBOM 資料庫,法國則以黑客松形式訓練公務員實作合規,讓安全由單點要求轉為整條供應鏈的共同作業。
對台灣社群而言,正是熟悉 SBOM 與 CRA 的最佳時機。CRA 會否像 GDPR 一樣掀起全球連鎖效應?各界高度關注;同時,歐洲「開源優先」正重塑政府與社群關係。想了解政策如何改變開源生態,以及台灣能如何超前部署?COSCUP 現場見!
