https://www.informationsecurity.com.tw/seminar/2026_GOV/

新聞

美國非營利開源基金會推出「開源永續倡議」,提升生命週期終止的開源軟體安全

2026 / 07 / 02
編輯部
美國非營利開源基金會推出「開源永續倡議」,提升生命週期終止的開源軟體安全
美國非營利開源基金會 Commonhaus Foundation 宣布啟動「開源永續倡議」(Open Source Sustainability Initiative,OSSI),協助企業管理已進入生命週期終止(End-of-Life,EOL)的開源軟體專案,在滿足法規要求的同時提升安全性。

計畫背景

即使維護者停止更新,EOL 軟體仍常被企業持續使用,新的漏洞也會不斷出現。Commonhaus Foundation 主席 Erin Schnabel 表示,企業經常因無法立即升級而繼續使用 EOL 軟體,同時仍不斷收到相關的新漏洞(CVE)通報。

「開源永續倡議​」​ 旨在提升維護者、基金會、生態系夥伴與開源社群之間的生命週期透明度與協作,以回應企業在 CVE 修補、版本遷移與法規合規方面的需求。

問題規模持續擴大

應用程式安全測試業者 Black Duck 發布的《2026 年開源資安與風險分析報告》指出,應用程式中的元件數量每年增加 30%,開源軟體幾乎已普及於所有商業軟體;同時,每個程式碼庫的平均開源漏洞數量也已增加逾一倍。

「開源永續倡議」創始成員 HeroDevs 營運長 Rob Nalen 指出,AI 正被用來寫程式碼與發現漏洞,且發現速度遠快於團隊修補速度,形成「AI 發現與利用 CVE」和「社群與企業追趕修補進度」之間的競賽。

他也表示,AI 可協助應用程式現代化,例如重寫已棄用程式碼等重複性工作,但在框架層級仍有挑戰。AI 在開發過程中不一定會檢查下游相依套件,也可能出現幻覺。AI 或許能在幾秒內完成程式碼更新,但真正困難的是在不破壞功能的前提下,重寫底層數百個第三方函式庫,尤其是尚未完成相同版本升級的函式庫

此外,美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)今年稍早調整 CVE 處理方式,也對開源軟體生態系造成明顯衝擊。

合規壓力推動改變

妥善處理 EOL 問題,有助於企業降低資安事件風險,並支援其遵循美國支付卡產業資料安全標準(PCI DSS)或歐盟《數位營運韌性法》(Digital Operational Resilience Act,DORA)等法規。PCI DSS 4.0 第 12.3.4 條款明確要求,組織須每年審查軟硬體是否已達 EOL;若仍使用過時軟體,則必須制定修補計畫。

延伸閱讀:DORA 新法規上路!歐盟金融機構須加強網路韌性

Nalen 觀察,過去不少工程師對軟體開發中的「紅旗」相對寬容,例如只要應用程式仍能正常運作,就容忍未修補漏洞。然而,隨著網路攻擊與資料外洩事件增加,這種容忍度正逐漸下降;資安主管也愈來愈不願讓含有未修補漏洞的程式碼進入正式環境。

本文轉載自 DarkReading。