開源軟體 (Open Source Software) 在這幾年成為資通訊領域的主流趨勢，舉凡從 5G (ORAN)、區塊鍊、 AI、Cloud、到嵌入式設備等等，從應用層到 driver 層都已經被大量使用。從消費端到工業應用，業界已非常頻繁的使用開源軟體作為元件來整合或進行二次開發。然而，產品開發結束後才開始管理開源軟體資安漏洞的成本相當高。此次分享, SZ 會分析這幾年的開源軟體通用漏洞披露 - Common Vulnerabilities and Exposures (CVE) 的狀況以及趨勢, 並且講述如何透過需求分析、SBOM使用、分析開源軟體成分等等方法，整合至軟體開發生命週期來管理開源軟體資安漏洞，進而降低總體軟體開發/ 維護成本。此外，SZ 也會以多年的開源軟體開發者角度, 分享如何透過系統性工具、SBOM 開源工具等等來追蹤及處理開源軟體資安漏洞, 並且分享實際修補 CVE 需注意的實務經驗, 避免因修補而產生衍生問題。除了已知漏洞, SZ 也會分享如何透過測試來挖掘未知漏洞。

透過開源管理開源，用合宜的研發成本以及可接受的資安風險使用開源軟體打造安全產品, 讓研發人員可將心力花在核心技術研發上。