白皮書

雖然企業會使用 SBOM 進行軟體盤點，用以分析、追蹤和掌握構成旗下軟體供應鏈的實際元件，但單單如此依然遠遠不足。使用 SBOM 進行軟體盤點以符合法規或業界要求，確實是相當不錯的起點。然而，合規性之外的無窮潛力或許更值得聚焦。追根究柢，將 SBOM 從資訊性資源轉變成可行動型商業工具，這才是真正的價值所在。

在全球軟體開發的浪潮中，開源軟體的應用已經成為不可或缺的一部分。大量的開源程式碼與套件不僅推動了技術創新，也改變了企業與開發者的工作模式。然而，面對多樣且複雜的開源授權條款，許多人仍感到困惑，這對於法規遵循與專案管理而言是一項重大挑戰。

　　本篇白皮書解析包括 MIT、Apache、GNU GPL 等在內的多種常見授權條款，並針對 Copyleft 與 Permissive 授權類型的發展趨勢提供專業見解。透過這份指引，讓您可以更加從容地應對開源授權相關議題，確保法規合規的同時，助力技術創新與開源社群的永續發展。

自從資訊安全研究人員在 2020 年 12 月發現攻擊者在 Solar Winds 應用程式的軟體更新中遭植入木馬程式事故後，這對於超過 18,000 家企業和政府機構而言，無非是在對於軟體供應鏈安全管理最粗暴，也是最重大的攻擊。儘管 Solar Winds 事故是迄今為止最巨大且最著名的軟體供應鏈攻擊，但遺憾的是，這並不是一個個別事件。事實上，軟體供應鏈攻擊已是企業需面臨到的普遍威脅，僅僅在過去的一年內，攻擊者就發動了近 7,000 次軟體供應鏈攻擊。不法分子不斷透過滲透、植入惡意程式攻擊的方式來竊取數據、損害目標受害組織系統並透過上、下游串連的特性，進入供應鏈網路的其他途徑攻擊。

Open Source 授權條款以及其效益，有助於了解這些授權條款的主要類別、不同的形式，以及各自的規範。Open Source 軟體授權條款的數量相當多，經常讓人 摸不著頭緒，一旦習得相關知識，您便能夠根據目標，明智選擇正確的軟體與條款。