Jin
Jin is a project coordinator at the Open Culture Foundation (OCF), where she first discovered the world of open source and the vibrant community behind it. She is passionate about bringing the spirit of open source into the digital security space, making it more accessible and transparent for everyone.
Sessions
FOSDEM(歐洲自由與開源軟體開發者年會)向來是全球開源趨勢的風向球。今年 OCF 出訪夥伴帶回來兩大觀察:在安全與永續政策面,以及在合規與社群協作面。
在安全與永續政策面,歐盟甫上路的《網路韌性法》(CRA)規定,所有連網產品都須附上軟體組成清單(SBOM),讓供應鏈一目了然。草案最初將責任推給維護者,經社群奔走後修正為「企業負責、公益專案豁免」,討論仍持續拉鋸,今年也回到「開源本質與維護者角色」等精神層面的反思。同時,為了配套落地,OpenSSF 推出自動產生 SBOM 與漏洞通報工具;歐盟亦擴編政府 OSPO,並成立「主權科技基金」,以法律促透明、以資金保韌性,確保關鍵專案長期有人維護。
在合規與社群協作面,SBOM 因 CRA 成為今年 FOSDEM 的熱搜詞,甚至首度獨立成議程軌。會中從格式標準、工具產生到即時通報機制全面討論,強調「社群訂規則、企業做落地」,並透過自動化流程減輕維護者負擔。多國 OSPO 亦分享跨部會協作案例:德國讓政府、基金會與社群共用 SBOM 資料庫,法國則以黑客松形式訓練公務員實作合規,讓安全由單點要求轉為整條供應鏈的共同作業。
對台灣社群而言,正是熟悉 SBOM 與 CRA 的最佳時機。CRA 會否像 GDPR 一樣掀起全球連鎖效應?各界高度關注;同時,歐洲「開源優先」正重塑政府與社群關係。想了解政策如何改變開源生態,以及台灣能如何超前部署?COSCUP 現場見!
這個場次將會分享 OCF 在「公民團體資安陪伴計畫」的實務經驗,如何在長期陪伴與面對面交流的過程中,陪公民團體一步步將資安落實到日常。
同時,我們又觀察到哪些公民團體常見的真實困境以及難以解決的痛點?哪些理想中的資安解決方案其實難以落實?我們又如何策略性的調整,提供更適合公民團體的解決方案?最後,除了最實際的技術諮詢與 trouble shooting,「長期的陪伴支持關係」是否也有助於帶來更多資安提升與改變?
最後,我們也會簡單介紹「資安防護基礎教材」,並誠摯邀請所有人來參與協作:無論你擅長撰寫說明文件、把資安知識轉換成好理解的文字說明、改善 UIUX,或能補充各種資安知識,都歡迎一起加入貢獻!