mail訊息顯示處
本郵件是由系統自動寄送,請勿直接回覆此郵件。《若您看不到此Email訊息,請按此連結顯示》
科法官網 20230715
本期焦點:開源軟體
國際焦點摘要
GLOBAL HIGHLIGHTS
美國律師對GitHub Copilot、微軟與OpenAI 提出集體訴訟,指控其違反開源授權條款,求償90億美元,美國法院近期以命令駁回被告之聲請
  美國Joseph Saveri律師事務所代表其他眾多原告於2022年11月3日在美國加州北區地方法院針對GitHub Copilot此一服務,對微軟、OpenAI、GitHub等公司提起集體訴訟,主張GitHub Copilot服務違反開源授權條款以及其他著作權及隱私等相關規範,並請求90億美元之損害賠償。
  原告認為目前主要之開源授權條款皆要求於程式碼發布時須載明作者姓名、著作權聲明、授權條款,而用來訓練Copilot之程式碼中有大量來自於GitHub資料庫之開源程式碼,但完全未遵守授權該等程式碼之開源條款所要求之義務,已侵犯大量程式原始碼作者之合法權利。
  被告微軟公司等雖抗辯原告並未明確指出究竟哪一個授權條款或有何具體契約義務被違反,而聲請駁回原告之請求,惟法院於2023年5月11日之法庭命令中指出,原告所列舉之GitHub網站上11種授權條款皆有要求歸屬者、著作權聲明、授權條件等內容,即使原告未具體指出是違反哪種授權條款中之哪個特定章節,原告仍已充分滿足指出契約義務受違反之要件,故就此議題以命令駁回被告之聲請。後續法院將於2023年7月11日就此案進行案件管理會議。
 
美國國會正在推動確保開源軟體安全之立法,期能避免政府機構利用開源軟體之風險
  美國參議員Gary Peters於2023年3月23日提出更新之《確保開源軟體法》(Securing Open Source Software Act of 2023)草案,此一立法將指示美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)協助聯邦政府、關鍵基礎設施與其他機構可安全可靠地使用開源軟體。
  於本法案中指示CISA應開發一個框架來評估開源軟體元件之風險,於框架制定之過程中應諮詢適當之聯邦機構(如美國國家標準與技術研究院NIST)、來自開源軟體社群之個人、非營利組織與私人公司,並於框架發布後依此對聯邦機構直接或間接使用之開源軟體元件進行評估。於本法案中並要求CISA成立包含開源軟體安全之軟體安全小組委員會,並要求美國行政管理和預算局(Office of Management and Budget)向聯邦機構發布關於安全使用開源軟體之指引。若本法案完成立法,將成為提醒所有組織不應忽視開源軟體安全之重要訊息。
 
我國焦點摘要
FOCUS TAIWAN
駭客對於開源軟體之攻擊倍增,專家提醒須留意駭客以開源軟體打造惡意基地臺,發動偽基地臺攻擊
  根據趨勢科技公布之「2023年資安年度預測報告」指出,駭客正努力攻擊軟體共用元件漏洞,例如資料顯示針對開源軟體儲存庫之惡意攻擊於2022年突然較前一年暴增633%。且其進一步預測,開源軟體之零時差漏洞將對產業造成深遠影響,特別是汽車產業,因開源軟體普遍被應用於車輛晶片、硬體、韌體、作業系統與應用程式中。
  由數位發展部資通安全署副署長鄭欣明教授帶領之5G研究團隊發現,駭客可藉由免費開源軟體實作並發布5G協定,建置惡意5G基地臺,偽裝成合法基地臺,對用戶發動偽基地臺(Rogue BS)攻擊。此種攻擊將可假冒合法基地臺取得用戶手機裝置資訊、定位追蹤特定使用者發送偽造簡訊或國家級警報、或上傳惡意程式佔用網路資源而達到癱瘓網路之目的。
 
開源軟體界著名之紅帽公司揭露其2023年在台重點規劃及解決方案,將針對金融壽險、政府、製造、電信以及教育五大關鍵產業
  紅帽公司(Red Hat)是開源軟體界之知名企業,開源軟體之商業模式隨時間發展,從最早期軟體本身免費但服務需要收費之第一代商業模式、提供企業加值版之第二代商業模式,逐漸演進成以雲端提供客戶解決方案之第三代商業模式,紅帽公司於2018年被IBM以262億美元收購,其收購之原因可能亦為看重紅帽於雲端運算市場之發展潛力。
  目前紅帽基於其雲端運用產品,揭露2023年在台灣將針對金融壽險、政府、製造、電信以及教育五大關鍵產業導入開源解決方案,例如與玉山銀行合作打造銀行核心系統,與台灣高鐵合作推出24小時網路訂票等新服務、與中華電信合作支援系統現代化等。
 
本期作者
WRITERS
主任 組長 法律研究員
王自雄 周晨蕙 施雅薰
thwang@iii.org.tw morningchou@iii.org.tw graceshih@iii.org.tw