Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
20160912- [開放文化基金會] 開源推廣及政策向政委建言及請益
基金會介紹:開放文化基金會成立於民國 103 年 6 月,由台北市政府文化局,
北市文化文創字第 10331440100 號函核准成立,本會致力於推廣各類開放文化
活動,包...
• 義大利的數位公共治理法案明定涉及公共治理相關的軟體建置,必須優
先採用開源軟體與開放標準來實施:
http://www.ifosslr.org/ifosslr/article/view/84
• 保加利亞新近修訂的數位化公共治理法案明定涉及...
接手的開發者繼續對該專案維護改版。程式能被永續使用、任意延展,猶如環
保能源一般。而近年公務機關不少的資訊採購,卻多採用傳統包案的取得模式,
這樣的作法常常導致網站在改版而需要重新發包時,一切既有建置在更換承攬
商後便須完全拋棄從頭再來,而無法...
專案的資安風險,其透過協助查察與即時發布更新的方法,來強化開源
應用方案的資安防護:https://www.coreinfrastructure.org/faq
建言主題三、建請行政院國家資訊通信發展推動(NICI)小組、
或由行政院科技會報辦...
而能達到實質鼓勵的效果,另一方面也期待行政院 NICI 小組或行政院科技會
報辦公室,能惠予就政府組織架構熟稔之立場,就彈性取才舉措的可行性,以
及此種管道應如何善盡流程與選才資訊的透明性,以確保公眾得有檢視的權利
與地位,提供其指導或意見。
...
以國人使用數量極高的自然人憑證卡片為例,雖然號稱遵循 ISO 7816-4 的國
際標準,但實際應用上改了兩道 APDU command,其性質為初始進行查詢必須
能被檢核通過的門檻,故從技術應用角度來看,在 Linux 作業系統等開源軟體
平...
Upcoming SlideShare
Loading in …5
×

20160912- [開放文化基金會] 開源推廣及政策向政委建言及請益

620 views

Published on

2016-09-16 科技會報辦公室提供。

Published in: Government & Nonprofit
  • Be the first to comment

20160912- [開放文化基金會] 開源推廣及政策向政委建言及請益

  1. 1. 20160912- [開放文化基金會] 開源推廣及政策向政委建言及請益 基金會介紹:開放文化基金會成立於民國 103 年 6 月,由台北市政府文化局, 北市文化文創字第 10331440100 號函核准成立,本會致力於推廣各類開放文化 活動,包括: 開放源碼、開放標準、開放硬體、開放資料、開放系統等相關領 域之活動。 建言與請益目的:希望就政府施政數位化與開放源碼、開放資料有關的重大議 題,提出一體適用性、不針對特定相對人的政策建言,期能協助執事者共同導 正、順暢相關施政的未來發展。 出席人員: • 董事長與董事-李柏鋒 (Pofeng)、高嘉良 (Clkao) • 法制顧問-林誠夏 (Lucien) • 秘書-李欣穎 (Singing) • 專題研究-李梅君 (Meichun - UC Davis 人類學博士班開放政府田調專案) 建言主題一、將開放標準、開放格式能夠列入政府採購法裡成為 最有利標的評選標準之一。 近期行政院公共工程委員會正在進行政府採購法的修法,若可行,希望於第 56 條最有利標之條文,能比照國際上部份國家的作法(澳大利亞、保加利亞), 透過立法或政策,將「格式開放性、規格通用性」一併列入最有利標之評選項 目,與標的之「技術、品質、功能、價格」等項目並列,以落實所欲採購的資 訊服務與技術服務,其涉及格式與標準者,應優先採購能提供國際標準或國家 標準者的目標。 比較法、比較政策上的引據出處:
  2. 2. • 義大利的數位公共治理法案明定涉及公共治理相關的軟體建置,必須優 先採用開源軟體與開放標準來實施: http://www.ifosslr.org/ifosslr/article/view/84 • 保加利亞新近修訂的數位化公共治理法案明定涉及民眾服務的軟體服務, 必須符合開源軟體的各項標準:http://lex.bg/laws/ldoc/2135555445 • 澳大利亞政府對公部門鼓勵利用開源專案,並設立採構政策導引書: https://www.finance.gov.au/policy-guides-procurement/open-source-software/ • 英國數位化政府實施標準裡,將採用開源軟體與遵守開放標準列入第 8 項及第 9 項標準裡:https://www.gov.uk/service-manual/service-standard 當前適逢行政院公共工程委員會就政府採購法徵詢修法意見的蒐集,建議能在 條文修訂下進行下列處理,與鼓勵國內的資訊軟體採購案,能真正將開放標準、 開放格式的要求落實: 第 56 條 (最有利標) 決標依第五十二條第一項第三款規定辦理者,應依招標文件所規定之評審標準, 就廠商投標標的之技術、品質、功能、商業條款、格式開放性、規格通用性或 價格等項目,作序位或計數之綜合評選,評定最有利標。價格或其與綜合評選 項目評分之商數,得做為單獨評選之項目或決標之標準。未列入之項目,不得 做為評選之參考。評選結果無法依機關首長或評選委員會過半數之決定,評定 最有利標時,得採行協商措施,再作綜合評選,評定最有利標。評定應附理由。 綜合評選不得逾三次。 建言主題二、建請行政院資安處、或國發會資訊處,能協助成立 公務機關使用、採用開源軟體的資源共享平台。 開源軟體的特性在於程式源碼可被取得,從而依其個別的授權條款被進行後續 的重製、散布,以及改作利用,除此之外,其亦具有不得嗣後撤銷(irrevocable) 的特性,所以,專案一經釋出,即使原權利人拋下專案不再開發,仍無礙有志
  3. 3. 接手的開發者繼續對該專案維護改版。程式能被永續使用、任意延展,猶如環 保能源一般。而近年公務機關不少的資訊採購,卻多採用傳統包案的取得模式, 這樣的作法常常導致網站在改版而需要重新發包時,一切既有建置在更換承攬 商後便須完全拋棄從頭再來,而無法繼續利用修改,尤如重覆配工(Reinventing the wheel)而造成各種資源的浪費。然而,這些資訊採購案背後的程式框架,已 是開源軟體佔了高度比例;此外,開源軟體處理資訊安全的作法與傳統私有軟 體有不同模式,因其程式碼開源之故,故資安漏洞採取原專案接受回報、快速 修補,後續即時發布更新檔的模式來處理,當公務機關採購資訊服務專案內含 開源元件時,後續也應配合這樣的最新開源版本查察、定期更新的資安防護機 制,來加化資訊安全方面的防護優勢。故建議我國行政上的權責機構,應架設 與建置公務機關使用的開源軟體資源共享平台,讓公務機關已採購過的開源專 案,能在機關間互相流通與共用,並透過此一平台定期發布軟體資訊安全更新 訊息,以最適宜且事半功倍的模式,提升我國公務體系軟體應用上的資訊安全。 比較法、比較政策上的引據出處: • 美國白宮辦公室近期資訊長簽署的「聯邦開源程式取得政策(Federal Source Code Policy: Achieving Efficiency, Transparency, and Innovation through Reusable and Open Source Software )」,透過具體行政指導政策導 引公部門採用開源軟體,並建立提供網站,新建專案預定 20%以上皆會 採開源授權提供予公眾使用: https://www.whitehouse.gov/sites/default/files/omb/memoranda/2016/m_16_2 1.pdf • 保加利亞新近修訂的數位化公共治理法案明定涉及民眾服務的軟體服務, 其程式源碼必須能夠提供,並讓公部門在後續的使用、修改與再散布上 不受到任何限制:http://lex.bg/laws/ldoc/2135555445 • 由 Linux Foundation 組織並獲 Amazon Web Services, Adobe, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, Hitachi, HP, Huawei, IBM, Intel, Microsoft, NetApp, NEC, Qualcomm, RackSpace, salesforce.com 以及 Vmware 協助的 Core Infrastructure Initiative,設立宗旨在於協助降低開源
  4. 4. 專案的資安風險,其透過協助查察與即時發布更新的方法,來強化開源 應用方案的資安防護:https://www.coreinfrastructure.org/faq 建言主題三、建請行政院國家資訊通信發展推動(NICI)小組、 或由行政院科技會報辦公室,能建立開放資料架構下數位政府的 諮詢顧問列表,以助優秀民間人士能在官民協力的開放框架下, 短期進入政府服務貢獻所專。 我國受限於中央政府機關總員額法的限制,公務機關彈性用人在處理上受限甚 大,然比照美國「18F」及英國「Government Digital Service」的作法,於數位 資訊服務的公務改革上,多直接以總統辦公室或內閣辦公室的高位,導入民間 學有專才之人來協助官方能進行真正實事的事務規劃。畢竟數位發展是未來國 力發展的重要導向指標,政府施政與人員組成固然有其穩定性,但於開放政府 與數位化政府此一領域,有其革新性與前瞻性,故應可以努力進行權衡處理。 目前對英美作法的了解,是將政府編制裡的執秘、顧問缺額,進行公開化、標 準化的統合管理,而以過往公部門聘僱民間幕僚、智庫的傳統作法最大的差異, 是在於數位政府業務執行上網羅的民間人才,其原本在民間社會與其參與社群 之間互動的角色並不會完全消失,故其並非僅僅將其一人之學能帶入政府機關 與編制內公務人員進行互動,而更像是橋接公務機關能與民間參與式社群構築 成一個能夠彼此討論、互相學習的合作網絡,目前我國就此類型的需求並非全 無前例,例如在行政院、經濟部、衛福部,在過去的二年之間皆有透過本部機 關的職缺,或是合作財團法人的職缺,延聘民間人才進入政府體系服務,這些 人才與過往純粹諮詢性質的角色不同,而是更具執行面向,能夠全職投入帶領 或協助編制內的公務人員,加速達到組織改革與提升行政效率的目標,然此法 於國內施行,亦仍有受制於員額框架的限制,且亦非常態制度性,能被標準化 推行的標準機制。開放文化基金會的立場,是標示出國際趨勢裡,政府的數位 再造有此內外部人才交互共工的需求,並提出彈性的作法之建議,也許建請行 政院能於中央設立一個諮詢顧問清單列表,以揭示並鼓勵相關機關構或地方政 府,能就自我需求延聘清單人員擔任其有給職或無給職的諮詢顧問,經過此一 清單的揭示,應亦有助於下級機關構,裨於免除開啟委外顧問案的相關疑慮,
  5. 5. 而能達到實質鼓勵的效果,另一方面也期待行政院 NICI 小組或行政院科技會 報辦公室,能惠予就政府組織架構熟稔之立場,就彈性取才舉措的可行性,以 及此種管道應如何善盡流程與選才資訊的透明性,以確保公眾得有檢視的權利 與地位,提供其指導或意見。 比較法、比較政策上的引據出處: • 美國白宮辦公室建立「革新評議委員會(Presidential Innovation Fellows)」,以召募私部門、非營利組織、學術界能對政府施政提出革新 意見的人員進入政府部門合作,此一機制目前經行政指令的確認已是永 久施行:https://www.whitehouse.gov/innovationfellows • Code for America 建立官方合作專案讓部份民間人士能夠高度與政府機關 構合作來影響施政,並同時與該領域社群成員保持高度討論互動,以讓 相關的施政建言,不宥於傳統智庫的紙上作業,而是以資料為驅動、數 據為評據的具體建言和改革:https://www.codeforamerica.org/do- something/partner-with-us 建言主題四、建請內政部憑證管理中心,能就自然人憑證、工商 憑證等憑證認證機制,研議更開放、公平,與普及的應用與管理 模式,並能夠大刀闊斧提供示範案例與說明文件,至少未來使用 上,不應再長期受限於特定商業平台。 近期內政部憑證管理中心提供之 HiSecure API 已支援跨瀏覽器,此舉擺除外界 對其僅支援 Microsoft IE 版本的印象,然憑管中心此舉亦反應,許多特定廠商 所使用的商業方案,其市場佔有率已逐年減小,而開放源碼的方案逐年增加, 且各瀏覽器已逐漸停用外掛式元件,故必須從應用系統端預為因應,以確保憑 證相關服務日後皆能為多數國人正常運用,然除了前述的 HiSecure API,多數 內政部憑證管理中心所提供的認證機制,應用上仍多數受限於專屬平台,對於 開源作業系統並不友善。
  6. 6. 以國人使用數量極高的自然人憑證卡片為例,雖然號稱遵循 ISO 7816-4 的國 際標準,但實際應用上改了兩道 APDU command,其性質為初始進行查詢必須 能被檢核通過的門檻,故從技術應用角度來看,在 Linux 作業系統等開源軟體 平台下,雖然能辨識到憑證卡片,但並無法用標準工具讀取到資料。多數技術 人員目前對我國自然人憑證所了解到的狀態是,必須要透過專屬的 HiSecure (只支援 Windows 作業系統)或第三方自行開發的 SDK,例如: http://goods.ruten.com.tw/item/show?11090529871891#auc 才能進行運作。洽內政 部憑證中心了解,於承作的中華電信這端,已遵照國際標準提供 PKCS#11 (Windows / Linux / Mac OS) 及 CSP (Windows) 的標準介接介面,然而事實確 然就是使用 Linux 及其他開源作業系統,歷年來在憑證使用上困阻重重,並且 缺乏安裝使用上,易於普及的輔導與說明文件。 未來於憑證公開近用在政策輸導方面的建議是: 1. 國家級的數位化基礎建議,應盡量如真求實的符合國際標準,未來政府 發行的各類憑證(自然人憑證、工商憑證、團體憑證),應能夠讓技術 人員能採用標準公用的工具存取。 2. 近期內過去已公開發行的憑證及其卡片,國家應該公開其 API,並提供 開源授權且輔以操作說明文件的 SDK,讓公眾能夠接續開發相關應用; 而非僅僅提供測試範例:https://gpkiapi.nat.gov.tw/PKCS7Verify/ 3. 從執行面來看,雖然我國公部門發行的 PKI 憑證皆是符合國際標準,但 舉例來說,rootCA 未經認證,所以民眾還是需要手動匯入跟強制認可 rootCA 才能進行應用,故建請能夠從政策上位檢視此一現狀,希能逐步 建立足資參據的導引規範,以收數位服務開放標準、便利公開近用的示 範案例與輔導流程。

×