單軌到共創：開源軟體策略與應用行動論壇

開源 × 安全

Denny Huang

2025/11/19

https://denny.one/202511-oss-strategy-co-creation-forum

Denny Huang

• SITCON 學生計算機年會 共同發起人
• COSCUP 開源人年會 長期志工
• HITCON 台灣駭客年會 長期志工
• 曾任雷亞遊戲（Rayark Inc.） 資料分析團隊主管
• 開放原始碼/資訊安全社群活躍參與者
• About me

HTTPS？

公開＝更危險？

現代加密的原則

演算法公開、金鑰保護

人工智慧之父艾倫圖靈破解 Enigma 密碼機

Turing and Enigma A story of revolution and war

封閉≠安全；開放≠危險

人人的透明：HITCON ZeroDay

外部研究員 ⇄ 組織有管道、有節奏地一起修洞

• 流程：通報→審核→轉介窗口→修補→修後公開案例
• 價值：讓「找洞的人」變協作夥伴，而非敵人
• 本質：把漏洞處理流程也變得可追蹤、可學習

機器機器的透明：GitHub Dependabot

全球漏洞資料庫⇢你的專案版本庫

• 資料源：NVD/各安全資料庫/社群通報 → GitHub Advisories
• 動作：掃你的相依，命中就 alert，甚至自動開升版 PR
• 好處：開發者從「追 CVE」→「Review PR」

資訊流動鏈：從研究員到組織

研究員→通報平台→公開漏洞資料庫→（Dependabot/SCA）→開發者→組織修補

• 人的透明（通報平台）＋機器的透明（自動化工具）
• 目的：更快看見、更快修補、更能共享經驗
• 透明、治理、協作＝安全的前提

把「開放」變成安全加分項

• 決策者/機關：
  制訂開源政策＋SBOM；公開漏洞通報政策/窗口；Open by design
• 開發者/團隊：
  開啟 Dependabot/SCA；把金鑰移出程式庫；在 CI 做敏感掃描與升版管控
• 社群/研究員：
  推動通報平台文化與，讓幫忙的人「敢報、有回饋」

單軌到共創

「安全應當在開放中被設計」
當我們讓資訊流動、制度到位，開源就成為安全的盟友。

• 公開演算法、保護金鑰
• 透明流程、人機協作
• 從黑箱單打獨鬥 → 共創守護

與行政法人合作經驗分享

文策院 TCCF 2020 App

時程與項目

• 簽訂合約 -> 上架，三個月
• Android App
• iOS App
• 網頁管理後台
• 與外部廠商系統串接

OPass

磨合點

• 非開放文書格式
• 智慧財產權所有權
• 進度報告文書作業
  • 專案開源都在 GitHub
  • 截圖 commit 紀錄排版

Thanks for listening

本投影片採用

創用 CC「姓名標示-相同方式分享 4.0 國際」授權條款釋出
Marp 製作