OSS Trends · notes

核心驅動力：國家安全與供應鏈合規

🇺🇸 美國：第 14028 號行政命令 (Executive Order 14028)
- 內容： 拜登政府於 2021 年簽署，強制規定任何出售軟體給聯邦政府的廠商，必須提供 SBOM。
- 實務影響： 美國國家電信暨資訊署 (NTIA) 定義了 SBOM 的最小元素。現在，像 CISA (網路安全和基礎設施安全局) 正在推動「Secure by Design」計畫，要求軟體商在開發階段就內建 SBOM 自動生成機制。
- 對台啟示： 台灣廠商若要接美國政府標案或進入其國防/關鍵基礎設施供應鏈，SBOM 是「入場券」。
🇪🇺 歐盟：網路韌性法案 (Cyber Resilience Act, CRA)
- 內容： 預計 2025 年全面生效。這是一部具有法律約束力的法規，要求所有連網數位產品（含軟體）必須具備資安防護，並在整個生命週期內提供安全更新。
- 實務影響： 廠商必須證明其開源組件是安全的（需透過 SBOM 盤點）。違規廠商將面臨高額罰款（最高全球營收的 2.5%）。
- 對台啟示： 這相當於軟體界的「CE 認證」，台灣軟體產品銷往歐洲必須合規。

核心驅動力：文化詮釋權與降低對美依賴

🇫🇷 法國：國家級支持 Mistral 與「公地」策略
- 內容： 法國政府大力支持本土新創 Mistral AI（雖然是商業公司，但核心模型採開放權重），馬克宏總統更將其視為法國科技主權的象徵。
- 實務影響： 法國不僅投資模型，還推動建立高品質的法語/歐盟語言開源數據集（Common Corpus），確保 AI 不會只懂英語或美國文化。
- 對台啟示： 即使無法由政府自建大模型，政府應資助建立「高品質繁體中文開源語料庫」，這是 AI 主權的基礎。
🇸🇬 新加坡：SEA-LION 模型 (東南亞語言網)
- 內容： 由新加坡政府資助的 AI Singapore 推出。
- 實務影響： 專注於東南亞語言（印尼語、泰語、馬來語等）的訓練。他們不與 GPT-4 比拼通用能力，而是專注於「區域文化理解」與「在地法規適應」，並將模型權重開源，讓當地企業低成本使用。
- 對台啟示： 台灣可借鏡此模式，發展專精於台灣法律、醫療、文化的垂直領域開源模型。

核心驅動力：人才競爭力與轉型效率

🇪🇺 歐盟執委會 (European Commission) OSPO
- 內容： 歐盟執委會內部設立了正式的 OSPO。
- 實務影響： 他們制定了《歐盟開源軟體戰略 2020-2023》，目標是打破政府內部的資訊孤島（Silo），促進跨部門的代碼重用，並將解決方案回饋給社會。他們認為這能增加政府透明度並節省稅金。
🇩🇪 德國賓士 (Mercedes-Benz) FOSS Manifesto
- 內容： 傳統汽車產業轉型軟體公司的經典案例。賓士不僅設立 OSPO，還發布了「自由開源軟體宣言」。
- 實務影響： 賓士鼓勵員工貢獻代碼到上游專案（Upstream）。這不是為了慈善，而是為了吸引頂尖軟體人才（工程師喜歡去擁抱開源的公司），並確保賓士依賴的軟體庫能持續維護。
- 對台啟示： 台灣硬體廠（如電動車供應鏈）若要轉型，設立 OSPO 是向國際軟體人才發出的最強訊號。

核心驅動力：避免廠商綁定 (Vendor Lock-in) 與數位韌性

🇮🇹 義大利：數位行政法規 (Code of Digital Administration)
- 內容： 義大利法律明確規定，政府機構在採購軟體時，必須優先評估現有的開源軟體。
- 實務影響： 建立了一個名為「Developers Italia」的平台，所有政府委託開發的客製化軟體，預設都必須在該平台上開源，供其他機關免費使用。
- 對台啟示： 這能有效解決「A 縣市做了一套系統，B 縣市又要花錢重做一套」的浪費問題。
🇩🇪 德國：ZenDiS (主權工作場所)
- 內容： 德國政府為了減少對 Microsoft Office/365 的依賴，由內政部資助開發基於開源組件（Nextcloud, Open-Xchange 等）的辦公套件 OpenDesk。
- 實務影響： 讓政府機關擁有數據的完全掌控權，避免雲端服務中斷或外國法律（如美國 CLOUD Act）調取數據的風險。
- 對台啟示： 對於機敏性高的政府單位，評估導入 OpenDesk 類的開源辦公環境是提升數位韌性的關鍵。