Jin
Sessions
FOSDEM(歐洲自由與開源軟體開發者年會)向來是全球開源趨勢的風向球。今年 OCF 出訪夥伴帶回來兩大觀察:在安全與永續政策面,以及在合規與社群協作面。
在安全與永續政策面,歐盟甫上路的《網路韌性法》(CRA)規定,所有連網產品都須附上軟體組成清單(SBOM),讓供應鏈一目了然。草案最初將責任推給維護者,經社群奔走後修正為「企業負責、公益專案豁免」,討論仍持續拉鋸,今年也回到「開源本質與維護者角色」等精神層面的反思。同時,為了配套落地,OpenSSF 推出自動產生 SBOM 與漏洞通報工具;歐盟亦擴編政府 OSPO,並成立「主權科技基金」,以法律促透明、以資金保韌性,確保關鍵專案長期有人維護。
在合規與社群協作面,SBOM 因 CRA 成為今年 FOSDEM 的熱搜詞,甚至首度獨立成議程軌。會中從格式標準、工具產生到即時通報機制全面討論,強調「社群訂規則、企業做落地」,並透過自動化流程減輕維護者負擔。多國 OSPO 亦分享跨部會協作案例:德國讓政府、基金會與社群共用 SBOM 資料庫,法國則以黑客松形式訓練公務員實作合規,讓安全由單點要求轉為整條供應鏈的共同作業。
對台灣社群而言,正是熟悉 SBOM 與 CRA 的最佳時機。CRA 會否像 GDPR 一樣掀起全球連鎖效應?各界高度關注;同時,歐洲「開源優先」正重塑政府與社群關係。想了解政策如何改變開源生態,以及台灣能如何超前部署?COSCUP 現場見!
台灣的公民組織在進行人權與社會議題倡議時,經常成為被鎖定的攻擊對象,在面臨越來越多的惡意威脅與針對性攻擊的同時,由於技術人力與資源長期不足,許多人權工作者即使意識到資安風險,也沒有心力投入有效的防禦措施。我們可以做什麼來改善公民團體的資安困境?透過這場分享,參與者可以了解提升公民團體資安防禦的重要性、OCF 怎麼陪伴公民團體提升資安、參與者可以怎麼協作貢獻?
首先,我們會簡要介紹 OCF 去年發表的公民團體「數位威脅概況報告」,揭示公民團體實際面臨哪些攻擊、存在哪些資源缺口。
第二,我們將分享一套「資安陪伴計畫」框架,並從過去至少六個月以來與公民團體合作的經驗中,說明人權工作者常見的技術支持需求與資安痛點,實際陪伴時,我們又發現哪些理想與現實狀況之間的差異?
最後,我們會介紹一個專為公民團體設計的教材工具包「資安防護基礎教材」。號召各路社群夥伴們,幫忙補充資安防禦知識,或是協助轉譯艱難的資安知識,變成公民團體朋友們好理解的說明指引,如果你有 UIUX 技能,也歡迎一起改善工具包的使用體驗。