美國非營利開源基金會 Commonhaus Foundation 宣布啟動「開源永續倡議」(Open Source Sustainability Initiative,OSSI),協助企業管理已進入生命週期終止(End-of-Life,EOL)的開源軟體專案,在滿足法規要求的同時提升安全性。
計畫背景
即使維護者停止更新,EOL 軟體仍常被企業持續使用,新的漏洞也會不斷出現。Commonhaus Foundation 主席 Erin Schnabel 表示,企業經常因無法立即升級而繼續使用 EOL 軟體,同時仍不斷收到相關的新漏洞(CVE)通報。
「開源永續倡議」 旨在提升維護者、基金會、生態系夥伴與開源社群之間的生命週期透明度與協作,以回應企業在 CVE 修補、版本遷移與法規合規方面的需求。
問題規模持續擴大
應用程式安全測試業者 Black Duck 發布的《2026 年開源資安與風險分析報告》指出,應用程式中的元件數量每年增加 30%,開源軟體幾乎已普及於所有商業軟體;同時,每個程式碼庫的平均開源漏洞數量也已增加逾一倍。
「開源永續倡議」創始成員 HeroDevs 營運長 Rob Nalen 指出,AI 正被用來寫程式碼與發現漏洞,且發現速度遠快於團隊修補速度,形成「AI 發現與利用 CVE」和「社群與企業追趕修補進度」之間的競賽。
他也表示,AI 可協助應用程式現代化,例如重寫已棄用程式碼等重複性工作,但在框架層級仍有挑戰。AI 在開發過程中不一定會檢查下游相依套件,也可能出現幻覺。AI 或許能在幾秒內完成程式碼更新,但
真正困難的是在不破壞功能的前提下,重寫底層數百個第三方函式庫,尤其是尚未完成相同版本升級的函式庫。
此外,美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)今年稍早調整 CVE 處理方式,也對開源軟體生態系造成明顯衝擊。
合規壓力推動改變
妥善處理 EOL 問題,有助於企業降低資安事件風險,並支援其遵循美國支付卡產業資料安全標準(PCI DSS)或歐盟《數位營運韌性法》(Digital Operational Resilience Act,DORA)等法規。PCI DSS 4.0 第 12.3.4 條款明確要求,組織須每年審查軟硬體是否已達 EOL;若仍使用過時軟體,則必須制定修補計畫。
延伸閱讀:DORA 新法規上路!歐盟金融機構須加強網路韌性
Nalen 觀察,過去不少工程師對軟體開發中的「紅旗」相對寬容,例如只要應用程式仍能正常運作,就容忍未修補漏洞。然而,隨著網路攻擊與資料外洩事件增加,這種容忍度正逐漸下降;資安主管也愈來愈不願讓含有未修補漏洞的程式碼進入正式環境。
本文轉載自 DarkReading。