如果技術要講,可以講很多,我剛到行政院 2016 年的時候,我自己架了 Zero trust 的系統叫做 「sandstorm」,就把我們常用的 Open source 放在一個零信任的沙盒裡,然後不讓它聯網,那個特定的版本我們還請 DevCore 打了半年,他們發了三個 CVE,所以我們知道這個版本在這個時間點,就技服和 DevCore 看起來這是安全的,以後就不要升級了,直到下一次測試以前,大家就用這個版本。所以它的來源是開源的,但經過這半年的實測,我們覺得它很安全,而且實際上也沒有出什麼問題。