開源專案辦公室的新價值

最近因為衛福部次世代數位醫療平臺專案的軟體授權爭議，開源專案辦公室（Open Source Program Office，簡稱OSPO）再次成為熱門關鍵詞。我查了一下在Linux基金會網站上公布的OSPO年度現況調查，2024年調查了222家企業與機構，多達45%的企業，相當於100家，已經設立了開源專案辦公室，這個結果倒是出乎我意外的高。

隨著雲原生技術成為IT技術的主流，許多列在CNCF技術地圖上的開源工具和軟體，像Kubernetes，幾乎成了企業現代化IT必備的軟體。開源軟體的影響不只廣，也越來越深，從2021年爆發的開源軟體Log4Shell漏洞風暴來看，波及數百萬套消費產品、不同類型軟體、應用系統等，幾乎全球都受到這波軟體供應鏈漏洞的衝擊。這也讓企業越來越重視開源軟體的管理，開源專案辦公室就是為此而設的專門單位。

近幾年，越來越多企業設立開源專案辦公室，不只大型科技公司標榜自己擁有OSPO，像是微軟、SAP、Meta、紅帽、Salesforce等，也有不少大型企業設立， 如第一資本金控、Walmart技術創新部門 Walmart Labs、保時捷汽車、賓士汽車等。在公部門，則像是歐盟、荷蘭稅務與海關、義大利數位部、法國巴黎市政府、美國聯邦醫療保險和補助服務中心等機構，近幾年都陸續跟進設立。

根據Linux基金會公布的去年調查結果，資源相對充沛的萬人以上規模大型企業，超過7成設立OSPO，不到50人的中小企業，也有19%的組織設立這類單位。參與調查機構的OSPO，主要負責的前幾類任務，包括開源政策和流程的建立，跨海開源授權合規、推廣開源最佳實踐、與開源社群的協作。

設立OSPO後，對企業而言，最明顯帶來的效益，除了讓授權合規做得更好，提高內部合作的透明度，也有助於分辨商用與開源的關聯，這些效益，不只對內改善了非開發人員對開源的認知，也讓企業更有能力與外部開源社群合作。高達8成參與調查的機構更直言，可以幫助資安治理的法遵做得更好，甚至，近4成機構直接將開源軟體安全，交給OSPO全權負責。

比較不同企業規模的開源專案辦公室特性，小企業設立OSPO來加速自身擁抱開源技術的能力，而大企業則偏重於靠OSPO善用開源和降低風險，尤其近5成大企業，靠OSPO來監督開源授權的合規性。

設立OSPO單位的價值不只如此，尤其在這一波生成式AI浪潮下，超過7成參與調查的企業認為，OSPO有助於管理GenAI風險，有1成企業甚至覺得超級有效！

不只雲原生技術，許多AI基礎架構所用的技術，幾乎整套都是開源技術，超過3成企業的OSPO，定期需要提供開源諮詢，給AI基礎架構維運團隊參考，更有6%企業，直接指派OSPO來主導AI基礎架構的建置和管理。

從這份調查來看，可以說，開源專案辦公室的價值，不只是為了授權合規、善用開源或資安避險。企業越是想要善用GenAI，就越需要重視開源軟體的管理，這正是OSPO這類專責開源管理團隊的新價值。

 更多相關報導