自由及開放原始碼軟體

自由及開放原始碼軟體（FOSS）指任何使用者都能自由執行、研究、修改與散佈的軟體。其核心精神在於「自由」（Free as in freedom），而非「免費」。FOSS的授權條款種類繁多，從寬鬆的（如MIT、Apache）到具備「傳染性」的Copyleft條款（如GPL），企業若不慎違反，可能面臨原始碼被迫公開或法律訴訟的風險。在風險管理體系中，FOSS是軟體供應鏈安全的重要一環。國際標準 ISO/IEC 5230 (OpenChain) 提供了FOSS授權合規管理的框架，要求企業建立政策、流程與工具，以系統化方式管理FOSS的使用。對於汽車產業，ISO/SAE 21434 亦要求對所有軟體元件（包含FOSS）進行持續的漏洞監控與管理，確保車輛的網路安全。因此，有效管理FOSS不僅是法務合規議題，更是產品安全與企業商譽的關鍵。

在企業風險管理中，FOSS的應用聚焦於系統化地識別與控制其衍生的法律與安全風險。具體導入步驟如下：第一步，建立軟體物料清單（SBOM），利用軟體組成分析（SCA）工具自動掃描產品程式碼，精確盤點所有使用的FOSS元件、版本及授權類型。第二步，執行合規與漏洞分析，將SBOM的結果與已知的授權條款資料庫及通用漏洞披露（CVE）資料庫進行比對，識別出高風險的授權衝突與安全漏洞，此流程需符合ISO/SAE 21434的風險評估要求。第三步，制定並落實FOSS治理政策，內容應涵蓋允許使用的授權清單、新元件引入的審批流程、漏洞修補的時限（SLA），以及對供應商的FOSS管理要求。例如，一家全球汽車零組件供應商導入此流程後，其產品通過OEM網路安全審計的首次通過率提升至98%，並將高風險漏洞的平均修復時間縮短了60%，大幅降低了產品責任風險與潛在的法律成本。

台灣企業導入FOSS管理時，主要面臨三大挑戰。首先是「法規認知與專業人才不足」，特別是製造業，普遍缺乏熟悉複雜FOSS授權條款的法務與資安人員，易忽略GPL等Copyleft條款的「病毒式」擴散風險。其次是「供應鏈透明度低」，台灣企業多為供應鏈中游，難以要求上游供應商提供完整的SBOM，導致無法全面評估終端產品的風險，這在要求供應鏈安全的ISO/SAE 21434規範下成為合規痛點。最後是「資源限制」，中小企業常因預算有限，難以導入昂貴的自動化SCA掃描工具，仍依賴人工盤點，效率低且錯誤率高。對策上，企業應優先建立FOSS治理政策作為管理基礎（預計1個月），並對研發與法務人員進行專業培訓。中期可採用開源或訂閱制的SCA工具，將其整合進CI/CD開發流程，實現自動化檢測（預計3-6個月）。長期則應將SBOM交付列為供應商合約的必要條款，以制度化方式確保供應鏈的透明與安全。

積穗科研股份有限公司專注台灣企業Free and Open-Source Software相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact