開源軟體無所不在，從作業系統、容器平臺到各項雲原生開發技術、網路開發語言，甚至最新的AI技術，或多或少都會使用到各式各樣的開源軟體。但是，2021年，一場全球性的資安危機Log4j零日漏洞事件，掀起各國對軟體供應鏈安全的重視，更加強對開源軟體的監管，連美國總統都親自下令要求。

從軟體供應鏈安全到後量子加密壓力，最新監管趨勢是AI透明度要求

「不只軟體供應鏈風險，後量子加密壓力，到爆紅生成式AI的治理合規，都成了各國對開源軟體的監管重點。」國泰金控數數發中心開源創新發展小組專案協理鄭正略觀察，近年，國際監管趨勢更聚焦在資安和授權兩大領域。

像是2021年美國總統行政命令14028號，要求強化軟體供應鏈安全，促使美國國家電信暨資訊管理局（NTIA）訂定了SBOM（軟體元件表）最低元素，2025年美國更新了CISA指引來加強軟體透明度，要求聯邦政府採購案的供應商，都必須提供完整的SBOM表，甚至開始討論起AIBOM表（AI資產清單）的標準化。

美國國安局則在2022年公布了國安系統演算法安全基準中的後量子密碼（PQC）演算法組合，要求2025年起新簽證應該支援PQC，甚至2030年起，所有軟體、韌體要全面採用PQC。歐盟通過了全球首部全面性的AI法案《AI Act》，2025年8月2日生效，明年8月全面實施，要求高風險AI系統建立完整的AIBOM，法案所提出的強制性透明度要求，涵蓋了模型、資料集和演算法。

從SBOM，CBOM到AIBOM，軟體供應鏈安全三種成分清單有何不同？

根據Gartner預測，2028年，全球大型企業將超過85%的軟體工程團隊會部署軟體供應鏈安全工具。用來紀錄軟體組成的各種BOM表機制，不只國際監管趨勢的透明度合規要求，更是企業建立軟體供應鏈安全的關鍵。

可用來強化軟體供應鏈安全的SBOM表，還可以細分出AI模型用的AIBOM表和因應PQC壓力而生的CBOM表（Cryptography BOM，加密資產清單）。

SBOM表是軟體物料清單，可以記錄軟體的版本、依賴關係、開源軟體元件、授權資訊等。其中，最重要的是相依性，可以了解軟體元件的上下游關係，作為追蹤的紀錄。現代的軟硬體很少從頭開始撰寫程式碼，往往採用了許多開源或第三方商業元件來組成，SBOM也成了確保軟體供應鏈安全的關鍵。

AI領域專用的AIBOM表，則可以用來呈現AI模型的多項資訊，從模型來源、訓練資料集、演算法、風險評估、倫理風險等，作為企業落實AI治理的參考資訊。而CBOM表則紀錄了軟體所用加密演算法、密鑰管理、憑證資訊、簽章方法等，可用來因應後量子時代的加密風險和相關合規要求。

金融業導入軟體供應鏈管理的三大機會與六大挑戰

導入軟體供應鏈管理機制，對臺灣金融業而言，可以帶來三大機會，鄭正略解釋，一是從被動因應漏洞，轉為主動式的風險管理，將資安防線左移到開發階段。其次，金管會也開始強調供應鏈安全的重要性，採用SBOM表，也可說是一種法規遵循的前瞻佈局，最後一點是，落實SBOM表，可以展現金融業對資安與AI治理的承諾，來提高顧客的信任。

對企業來說，要導入這些提高軟體透明度的SBOM機制，鄭正略認為，有六大挑戰，包括了供應商的配合度、SBOM資訊產生工具不足、SBOM表格式標準化問題、資料隱私與分享議題、CI/CD整合挑戰，以及成本與人才的挑戰。

他特別重視CI/CD與SBOM機制的整合，如何在敏捷開發中，即時、準確地生成BOM表，就可以避免影響到既有的開發流程，來提高軟體供應鏈管理的透明度。像是在CI/CD流程中自動產生SBOM，並結合VEX（弱點交換標準格式）的機制，來篩選出有高風險的漏洞，一旦，發生了類似Log4Shell的資安漏洞通報，就可以快速從SBOM資訊中，找出自家可能受害的服務，快速更新或緩解問題。

國泰金控揭露開源套件管理平臺運作模式，SBOM集中式管理是關鍵

國泰金控發展了一套開源套件管理平臺，要用系統化的方式，來實現開源軟體的軟體供應鏈安全管理。鄭正略進一步說明，這套平臺包括了四個部分，套件來源、SBOM表產生、集中式管理的SBOM Hub和AI解決方案。

國泰開源套件管理平臺包括四大組成。

這個開源套件管理平臺可以掃描國泰所用的各項開源套件，套件來源包括了各種Docker映像檔，JAVA、.NET、Python等開發語言的套件等，掃描了套件組成後，結合CI/CD流程，可以自動產生軟體物料清單，國泰選擇用OWASP基金會的CycloneDX格式來紀錄。包括內部自行開發的軟體，或是第三方供應商提供的軟體的SBOM，最後都會儲存到平臺上的SBOM Hub，進行集中管理和版本控管，確保資訊可以追蹤。

套件管理平臺也整合了常見的漏洞資料庫，如CVE、NVD或歐盟EUVD等，來分析SBOM中的組件，是否存在已知的漏洞。還會進一步分析這些SBOM中的軟體授權資訊，協助管理開源軟體的授權合規性。最後，則可以運用一些AI解決方案，來進行異常告警、資安洞察和分析，像是讓AI根據漏洞影響範圍的嚴重性、組件的使用頻率和企業特定環境等因素，自動排列出漏洞修補的優先順序，並提供修補建議。

鄭正略指出，集中式管理的SBOM Hub是開源套件管理的關鍵核心，搭配商用等級的軟體供應鏈解決方案，可以提供一個兼顧掃描、阻擋及溯源的儲存庫（Repository）。

國泰會從三個角度來評選一款軟體供應鏈解決方案，漏洞搜集能力、整合能力和漏洞定位能力。像是收集到多少種漏洞數據庫的資料，能不能整合到IDE開發工具或是CI/CD工具中來進行自動掃描，能不能快速找出有漏洞的元件或受害服務，及時阻擋問題套件的上傳或下載。

國泰正評估借重AIBOM，提高AI模型生命週期管理的能見度

鄭正略透露，目前國泰也正在評估，如何運用AIBOM表，來實現AI模型的全生命週期資訊的能見度，涵蓋訓練數據到模型部署，試圖找出潛在的偏差與風險，來確保模型的透明、可解釋和可追溯。

目前，國泰嘗試運用一款AI SBOM Generator開源工具，可以協助將Hugging Face上託管的模型，產生一份AI SBOM表，這款工具可以自動抓取關鍵資訊，像是模型後設資料、訓練資料集、依賴項目和配置等，依據OWASP基金會定義的CycloneDX JSON（ 國泰所用SBOM格式）格式，來產生一份機器可讀的AI SBOM表。

國泰金控從發展大數據應用，數據生態系，到擁抱雲原生技術，推動雲端轉型，一路採用了許多開源軟體和技術，為了強化這些開源軟體的管理，才發展出這樣一套開源套件管理平臺，搭配SBOM機制來強化軟體供應鏈的管理。

如何控管開源四大風險，國泰設立審查委員會和標準化審查流程

不只有平臺和機制，國泰也發展出一套開源風險控管做法，設立了一個開源審查委員會（Open Source Review Board，簡稱OSRB），建立一個集團開源安全防護網。

開源審查委員會（OSRB）是國泰金控管理開源風險的關鍵

這個開源審查委員會，集結了治理、資安、法務和開發團隊的專家，負責訂定出全集團統一的如何開源和發布的一套政策和標準。另一方面，在SBOM的發展基礎上，進行安全性、合規性的安全風險揭露與審查，透過自動化工具，持續監控已知的漏洞，確保全集團對開源的使用，符合國際監管趨勢。最後一項OSRB的任務是，維護一個可信任的倉庫，提供審核通過的安全元件，也簡化相關的申請和審核流程，來加速產品上市時間。

鄭正略解釋，企業常見的開源風險有四類，第一是無法掌握開源軟體的初期風險，其次是法律授權條款的風險，尤其用到有傳染性的授權，可能導致企業核心程式碼必須被迫開源。日益嚴格的產業監管合規壓力是第三類風險，需要保留完整軟體組成分析和稽核紀錄，第四類風險是，開發與安全效率兼顧的兩難，在追求快速開發和產品迭代的壓力下，安全和法務審查往往成為瓶頸，如何在速度和風險控管之間取得平衡是課題。

多年使用開源軟體的經驗下，國泰已經發展出一套開源審查的標準化流程，可以建立從源頭管理，到安全上線與管理的治理體系。

第一步取得開源元件後，先進行原始碼掃描，第三步再來識別風險。國泰會將開源元件集中，放入到集團審核中的儲存庫，定期掃描和監控，自動產生相關SBOM報表。接著再進行第四步的風險審查和批准，並且要留下相關紀錄，也會公布特別要審查哪些開源風險，

最後一步，通過審核可用的開源元件，就會放入一個可信任的軟體倉庫，要求所有開發團隊，都得使用這個倉庫中的開源元件，不能自行使用外部的開源元件，來實現一套完整的開源軟體控管流程。

兼顧開源治理與創新靠兩大關鍵引擎

但是，國泰不只想要落實管理，還想要進一步善用開源軟體來創新。許多國際金融集團推動開源創新的做法，如高盛集團、HSBC、花旗集團等，過去三年，紛紛成立了開源計畫辦公室（Open Source Program Office），來善用開源力量。國泰金控也成立了一個開源創新發展小組，在集團內扮演OSPO的角色，作為國泰開源戰略的核心推動單位，這就是鄭正略所在的團隊。

鄭正略表示，開源計畫辦公室（OSPO）和開源審查委員會（OSRB）是開源治理與創新的關鍵雙引擎。開源審查委員會負責治理、審查開源的使用情況，確保安全和合規，而開源計畫辦公室則是負責串聯內外部的資源，在集團內建立開源的文化，也可以對企業提供開源政策的建議。

TAG、OSRB和DevRel是國泰開源戰略鐵三角

國泰推動開源計畫辦公室的做法，除了已經設立了開源審查委員會（OSRB）來推動開源治理，也在開源創新發展小組中，設立了技術諮詢小組（Technical Advisory，簡稱TAG），負責技術標準訂定、開源技術研究、內部開源機制的建置，以及打造開源共享平臺。另外也積極經營開發者技術社群，也就是國外常見的開發者關係經營（DevRel），參與國際社群、推動開源文化和人才培育等。「TAG、OSRB和DevRel，正是國泰金控開源戰略的鐵三角。」鄭正略表示。

國泰金控設立開源計畫辦公室的三大實踐做法

國泰金控更長遠的開源願景，鄭正略指出，要打造出一個國泰開源生態系。國泰已經從階段0的「開源啟動者」，跨入了階段1的「開源實踐者」，包括訂定了開源治理規範，也有對外開源成果，並有一套對外開源的管理平臺，內部也開始推動開源文化，與開源社群合作，打造一站式的開源資源整合與分享平臺。目前國泰正在導入內部開源（InnerSource）機制和開源共享平臺。在人才培育上，也要建立開源人才的貢獻機制。

長期要打造開源生態系，下一階段目標是成為開源領航者

在這個開源生態系大夢中，國泰下一階段的目標是成為開源領航者（階段2），可以推動亞太區的開源活動，甚至擔任跨產業開源導入的推動者，未來更要邁向階段3「開源典範者」，像是成為金融業內部治理的分享者，協助金融同業導入內部開源，並將內部開源共享平臺對外開源。更希望成為國際開源基金會的董事，促成更多臺灣金融業的產業合作。

國泰金控集團這幾年的開源成果和投入，已經是臺灣知名的開源實踐者，在這個開源生態系的大夢，成功地邁出了第一步。