連續第三年,iThome盤點臺灣大型企業的DORA指標數據,揭露臺灣各產業的DevOps交付能力,1成金融業達到全球卓越團隊的水準,多數臺灣企業仍停留在中低階水準。頂尖企業積極強化DevOps,注重安全開發的DevSecOps和借重AI輔助的AIOps是新方向,更有18%企業用GAI輔助來加速開發
↧
【iThome 2024 CIO大調查系列5】臺灣企業DevOps再進化
↧
【iThome 2024 CIO大調查系列5|DevOps採用】DevOps採用率破2成5,開發安全和AI化維運是新目標
iThome
隨著越來越多企業推動IT現代化,擁抱雲原生技術,DevOps也成了企業軟體開發轉型的焦點,採用企業越來越多,根據iThome CIO大調查,到今年底,預估達到25.6%的採用率,大約是每四家就有一家企業採用。
各產業中,以金融業最積極,採用率原本就居各產業之冠,今年底持續提高,將達到40.7%之多。服務業是今年採用率增加最多的產業,從去年的25%,一口氣今年預計增加到30%。企業投入的DevOps預算,整體產業平均達到372萬元,也以金融業最高,達到839萬元,這兩年積極投入軟體開發轉型的政府機關,也持續投入不少預算來推動DevOps,平均預算達到597萬元,僅次於金融業。不過,政府學校的DevOps採用率,因為少數學校啟動數位轉型和IT現代化,重新檢討開發流程和做法,今年不升反而略降。
各產業DevOps預算和去年有很大的變化,服務業、一般製造業和政府學校的預算都增加了2~3成,來加速推動,反而去年積極發展DevOps的醫院,隨著相關工具軟硬體建置後,今年反而縮減了快2成預算,轉而開始強化人員DevOps能力的訓練。
採用現代化的DevOps作法之後,企業開始採用更多Ops優化作法,尤其,今年高達5成CIO的年度優先目標是推動資安轉型,資安左移就是其中一項重點,因此,今年高達17.1%的企業要導入DevSecOps來強化開發安全,採用率幾乎是去年的2倍多。又以金融業和服務業今年要採用的企業較多,皆超過了2成4,醫療業更是從去年1.8%採用率,今年暴增到14.3%,幾乎每七家醫院就有一家今年要導入DevSecOps。這些企業希望進一步提升原有的DevOps流程,在開發流程上游就開始強化安全,甚至是預設採取更安全的軟體架構設計。
不只是安全開發的重視程度大增,隨著GAI技術和工具崛起,雲端業者紛紛推出了用GAI輔助的維運助手,也想要用AI優化IT維運,推動AIOps的企業比例,也從去年的3.1%,今年增加到8.3%。在IT維運人力有限的情況下,這兩年積極上雲的醫療業是最積極採用AIOps的產業,今年高達17.9%的醫院,想用AI輔助,來改善基礎架構資源的調度和提供,加快各項開發環境的準備速度。金融和高科技業者今年也有近1成企業想採用AIOps。開發流程高度自動化的GitOps和雲端維運成本管理優化的FinOps,這兩項採用率也比去年略高。這些Ops優化發展,都是臺灣企業DevOps再進化的新方向。
問卷說明 iThome CIO暨資安大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家。填答者中,企業CIO則占了71.8%,企業資安最高主管則占了62.8%。產業分布上,一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3%、政府與學校則占了9.7%。
↧
↧
【iThome 2024 CIO大調查系列5|四大交付指標】破2成企業部署與復原能力有國際水準,交付瓶頸是更新準備太慢
iThome
連續第三年,我們用國際慣用的DevOps能力指標DORA來衡量臺灣企業的IT團隊能力,在四項指標中,臺灣企業今年在部署頻率,部署失敗後的復原時間,這兩項能力明顯提升,達到國際水準的企業將近2成,比去年增加了不少。
Google旗下有一個專門研究DevOps評估方法的研究團隊DORA(DevOps Research and Assessment)所發展出來的DevOps能力指標,因此,這套指標也被稱為DORA指標。連續第9年,DORA團隊用了這套指標進行全球企業的網路問卷調查,並在年底發表當年調查結果,累計到2023年,超過3萬6千多名企業IT人員參與調查。這是國際上衡量企業DevOps能力最具公信力的指標之一。
Google在2023年12月,公布了2023年全球DORA能力大調查的盤點結果,發表了一份2023年《加速發展:開發運作現狀報告》,去年這個版本首度推出了中文版。DORA指標幾年下來,衡量的項目越來越廣,去年甚至增加了生成式AI對於企業IT團隊的技術工作影響的調查,但是,一直有四個最主要的DevOps交付能力指標,也是國際最常見的DevOps能力指標。
這四個指標包括了平均部署頻率、更新準備時間、平均復原時間、變更失敗率。其中,平均復原時間過去是指系統故障後的恢復時間,但是,在去年DORA調查中,更聚焦在DevOps能力上,更明確地定義為更新引起的系統當機或失敗後,系統復原的平均時間。我們在iThome CIO大調查中,也用與DORA全球大調查同樣的題目和同樣的企業自評方式,來盤點臺灣企業的DevOps能力,進而與國際水準進行比較。在2024年CIO大調查中,我們參考了DORA 2023年大調查報告來進行。
針對企業關鍵AP在四大指標的能力水準上,臺灣企業關鍵AP的平均部署頻率,高達19.9%,可以達到按需部署,也就是可以一天多次部署的能力,遠高於去年的14.3%,更多臺灣企業在這一項達到國際水準。另外在更新準備時間上,則有6.2%企業能在一小時內完成,只比去年的5.4%略多一些。關鍵AP變更失敗率指標,向來是臺灣企業強項,今年高達49.5%企業低於5%,約6成7低於10%,也優於去年。
此外,在部署失敗後的平均復原時間上,今年更有21.4%的企業可在一小時內恢復,去年只有14.5%企業能達到這個水準。
整體來說,四大指標中,臺灣企業有三項指標遠優於去年,尤其是平均部署頻率和平均復原時間,只有更新準備時間是臺灣企業今年DevOps能力再提升的瓶頸。
問卷說明 iThome CIO暨資安大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家。填答者中,企業CIO則占了71.8%,企業資安最高主管則占了62.8%。產業分布上,一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3%、政府與學校則占了9.7%。
↧
【iThome 2024 CIO大調查系列5|DORA指標】6%臺灣企業DevOps能力達國際水準創新高,金融業卓越團隊更破1成
iThome
全球DORA指標不只用四大指標來衡量DevOps團隊的各項能力,更依據每年全球調查水準,綜合四項指標,定義出不同能力高低的等級,來反應企業IT團隊的整體DevOps能力水準。
臺灣企業今年達到DevOps卓越團隊等級的企業,達到6%,這是我們連續第三年調查的新高,幾乎是去年1.1%的6倍之多。臺灣採用DevOps的企業約四分之一,其中更有6%的團隊達到國際級水準,這也反映出臺灣企業DevOps能力在過去一年明顯提高。
卓越團隊的定義,會隨著當年全球DORA調查結果,而略有不同,2023年最新版DORA報告中,卓越團隊在四項指標的要求上,三項與前一年相同,包括了平均部署頻率達到按需部署、更新準備時間在一天以內、平均復原時間也不超過一小時,但在變更失敗率指標的要求,則從去年的15%以下,提高到了必須在5%失敗率以下。全球2023年達到卓越團隊的比例達到18%,另外有31%企業,達到高階團隊的水準,臺灣整體產業距離這個水準還有不小的距離。
雖然臺灣今年有更多企業達到卓越團隊的程度,但在高階團隊的企業比例,則是從去年的52%,在今年下滑到只剩下25%。高階團隊比例下滑的關鍵原因是,DORA在2023年調查中,觀察到全球企業的DevOps能力提高了,也調高了對高階團隊的能力要求,尤其在變更失敗率上,過去只要在30%以下就屬於高階團隊,但在2023年,必須達到10%以下失敗率,才能進入高階團隊的水準,因此,去年5成高階團隊的臺灣企業,幾乎有半數企業的變更失敗率沒有達標,因此,臺灣企業今年高階團隊大幅減少到只有25%。
從各產業來看,金融業DevOps表現最好,高達10.8%金融業者達到卓越團隊的水準,次高是近兩年積極推動IT現代化和上雲的醫療業,也有8.7%醫院達到卓越水準。政府學校今年卓越團隊的比例掛零,去年雖有7.7%政府學校達到卓越水準,但因為變更失敗率過高,隨著DORA調高標準,政府學校這些團隊在今年紛紛掉到高階團隊的等級。
DORA全球調查去年也首度將GAI影響納入調查項目中,了解企業IT技術工作,有哪些項目開始受到GAI的影響。我們則進一步調查臺灣企業哪些IT技術工作開始採用GAI來加速,其中,已有18.5%臺灣企業開始用GAI輔助軟體開發,也有17.5%臺灣企業用GAI來優化自己的程式碼,又以服務業最積極,破2成3的服務業者開始用GAI來輔助開發,DevOps能力較弱的一般製造業,也有高達22.7%企業開始採用GAI輔助開發。用GAI來提高軟體開發速度和生產力,是生成式AI最直接也是最明顯的效益,臺灣企業今年也開始借重GAI技術和工具,來提高自己的DevOps戰力。
問卷說明 iThome CIO暨資安大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家。填答者中,企業CIO則占了71.8%,企業資安最高主管則占了62.8%。產業分布上,一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3%、政府與學校則占了9.7%。
↧
GAI開始加速企業IT戰力
今年是我們連續第三年,用全球DORA指標,來盤點臺灣企業的DevOps能力,採用同一套標準,不只可以讓企業用來和臺灣同業、同產業的比較,更可以用來比較臺灣企業和全球企業的開發能力。
Google旗下的DevOps評估研究團隊DORA已經連續9年(今年正在進行第10年的調查),調查全球企業的DevOps能力。調查所用的這一套DORA指標,逐漸擴大涵蓋到更多面向,但其中,最核心的是用來衡量DevOps交付能力的四大指標,這是國際間最常用來衡量一家企業DevOps能力的指標。臺灣也越來越多企業用這個指標,來衡量自家IT團隊的開發能力,作為持續改進的參考。
iThome CIO大調查從2022年開始,採用同樣的網路自評,同樣的問題和答案選項,來問臺灣企業的IT主管,今年是第三年。企業DevOps交付能力的高低,與他們所面臨的挑戰大小相關,隨著越來越多企業擁抱雲原生技術,諸如微服務架構、容器化技術、跨雲多雲混合雲架構的採用率年年提高,微服務架構的企業採用率從去年的21.1%,今年底將增加到24.9%,K8s與容器技術的採用率從去年的25.4%,今年也增加到26.8%。多雲混合架構的企業採用率也從去年22.7%,今年增加到26.3%。
但是,企業所面臨的IT環境更多元,軟體開發複雜度、基礎架構資源的調度和維運考驗也比過去更嚴峻。這些挑戰,一方面驅使企業必須更積極擁抱DevOps等現代化開發工具來優化開發流程,另一方面也提高了企業優化DevOps交付速度和品質的難度。從我們的CIO調查,可以觀察到企業擁抱IT現代化過程的迫切性和困難。
臺灣企業DevOps採用率從2022年底的19.4%,2023年底增加到23%,今年底更預估會繼續提高到25.6%,平均每四家企業就有一家要擁抱DevOps,今年又以金融業的DevOps採用率最高,預估達到40.7%,服務業和醫療業也高達3成。
不只越來越多企業擁抱DevOps,企業對於DevOps的能力也一年比一年更強,從臺灣企業DORA指標數據來看,今年達到卓越團隊等級的臺灣企業,達到6%,去年只有1.1%的企業達到這個國際水準,幾乎是五到六倍的成長,反映出臺灣企業快速跟上的現象。
從單項指標數據來看,臺灣企業關鍵AP的平均部署頻率,高達19.9%具備按需部署能力,比去年的14.3%提高了不少。在AP變更失敗率指標(高達49.5%企業的失敗率低於5%)和部署失敗後的平均復原時間(21.4%企業今年可在1小時內恢復),這兩項能力也明顯比去年有更多企業達到卓越團隊水準。只有更新準備時間的提升較少,如只有6.2%企業能在一小時內完成,比去年的5.4%略多一些。
部署頻率和更新準備時間可以反映出企業的團隊開發速度,而變更失敗率和平均復原時間則反映了企業軟體開發的品質和穩定性。臺灣企業在品質和穩定性上明顯的提升,而開發速度上,則偏重部署頻率的提升,考驗IT基礎架構資源調度與CD自動化能力的更新準備工作,則還有提升的空間。
不過,從今年調查中,可以看到近2成的臺灣企業,開始運用生成式AI來輔助軟體開發,26.3%企業用GAI撰寫開發文件,18.5%企業用來輔助程式碼撰寫,也有17.5%企業用於優化程式碼,這都有助於提高企業軟體開發的品質,也能加速企業軟體開發交互的速度,從今年臺灣企業DORA數據的提升,也能看到GAI效能開始發酵。
但這只是剛起步,而不是終點,隨著GAI輔助開發工具,越來越成熟,願意嘗試,懂得善用GAI輔助開發的企業,有機會再進一步加速自己的IT開發戰力,明年有機會看到更多臺灣企業達到DevOps卓越團隊的水準!
↧
↧
6月WhatsUp Gold修補漏洞,8月初駭客攻擊行動開始現蹤
今年6月Progress針對網路監控系統WhatsUp Gold發布更新,當中修補重大層級的漏洞CVE-2024-4883、CVE-2024-4884、CVE-2024-4885(CVSS風險評分皆達到9.8),攻擊者能在未經授權的情況下,利用這些漏洞遠端執行任意程式碼(RCE),如今有研究人員提出警告,部分漏洞已出現實際攻擊行動。
Shadowserver基金會提出警告,他們自8月1日看到來自6個IP位址的攻擊行動,駭客利用CVE-2024-4885,企圖存取WhatsUp Gold系統的/NmAPI/RecurringReport。
研究人員特別提到,由於這項漏洞的概念性驗證程式碼(PoC)已被公開,駭客無需自行從頭拆解,就能快速將漏洞用於攻擊行動,IT人員應盡快套用相關更新。目前而言,Shadowserver基金會與該組織的全球漏洞濫用儀表板,都尚未公布目前曝險的系統數量。
↧
英國對Amazon與Anthropic的投資案展開調查
英國競爭與市場管理局(Competition and Markets Authority,CMA)周四(8/8)宣布,將對Amazon與Anthropic之間的投資關係展開調查。Anthropic為市場上新興且看起來非常有前景的AI業者,不過,Amazon/Anthropic並非CMA在AI領域唯一的調查目標,去年底CMA即針對Microsoft / OpenAI的合作關係展開調查,也在上個月開始調查Alphabet與Anthropic的合作。
Anthropic是由一對兄妹Dario Amodei與Daniela Amodei在2021年所創立,兩位先前都是OpenAI的工程師,所建置的Claude模型被視為是OpenAI GPT最大的競爭者,不管是Amazon或Alphabet都對Anthropic很感興趣並相繼投入資金,其中,Amazon已於今年3月完成所承諾的40億美元注資,此一交易還包括Anthropic將使用AWS Trainium與Inferentia晶片來建構、訓練及部署模型,也將以AWS作為其關鍵任務工作負載的主要雲端供應商,包括安全研究與未來的基礎模型開發。
至於Alphabet亦承諾要投資20億美元予Anthropic。
相較於針對不同的合作展開調查,其實CMA更在意的是整個AI生態體系的競爭狀況,特別是認為各大AI基礎模型(FM)與關鍵參與者之間的合作關係,可能會強化FM價值鏈業者的現有市場地位。
CMA在今年4月發表的一份報告中,把Google、Amazon、微軟(Microsoft)、Meta及蘋果(Apple)及Nvidia等公司稱為GAMMAN,認為這6大科技業者都在FM價值鏈上扮演重要的角色,例如它們全都自行開發FM,且當時的Amazon、Google與微軟都各自有合作密切的FM開發商,也讓CMA擔心,這些全球最重要的技術公司可能會嚴重影響FM市場的發展,危及開放與公平競爭,最終損害企業與消費者。
不過,目前的AI領域仍處於大量投資階段,也不乏新創或開源模型,因此,就算CMA對現階段的市場布局感到擔憂並展開調查,但先前進行的Microsoft / OpenAI與Alphabet/Anthropic調查都停留在蒐集意見的第一階段,並未有進一步的行動,此次對Amazon/Anthropic的調查亦是屬於第一階段的意見蒐集。
↧
Dell再裁員1.3萬,將聚焦AI、伺服器
Business Insider報導,電腦大廠Dell因應AI時代來臨,近日再傳裁員12,500人。
媒體報導,這次裁員主要裁撤職位落在業務部門及管理層級。報導引述Dell高層主管Bill Scannell與John Byrne對內公開信的內容,Dell將裁撤數層管理人事,以及重新對投資重點排序。一名員工匿名指出,這次裁減的員工大部分是經理、協理和副總級,多個組織被整併,縮小經理和員工比,現在一個經理需管理15人。此外行銷及營運部門也受到影響。
彭博則報導,透過這次裁員,Dell希望能因應AI時代的挑戰,新業務團隊將更著重AI有關的銷售,像是Dell伺服器。
Dell證實裁員消息,表示透過go-to-market部門改組及一系列行動,公司將變得更精實。但是Dell並未證實裁撤人數。
去年Dell則在2波行動中裁員1.3萬。15個月下來,已有超過2.5萬名員工失去工作。若從去年年初的13萬計算,經過數波人事精簡,現有Dell員工數為10萬人。
根據Dell最新財報截自2024年5月,該公司營收2,220億美元,成長6%,主要來自伺服器及儲存設備的基礎架構方案業務成長22%,而筆電等用戶端營收則勉強持平。
↧
微軟與Palantir合作以支援國防及情報業務
微軟周四(8/8)宣布,將與大數據分析業者Palantir合作,在微軟的政府及機密雲端中提供Palantir及Azure OpenAI服務予國防及情報組織,此一合作案讓Palantir當天股價大漲11.25%,以29.28美元作收。
根據雙方的協議,Palantir將在Azure Government、Azure Government Secret 及 Top Secret等微軟雲端環境中部署Foundry、Gotham、Apollo與AIP等產品。其中,Foundry為一資料整合與分析服務,Gotham為軍方與反恐分析師所使用的情報及防禦工具,Apollo則是個跨環境的持續整合與交付(CI/CD)平臺,AIP指的是Palantir的AI平臺。
此外,Palantir也將成為微軟Secret與Top Secret環境中,Azure OpenAI Service的早期採用者。
政府機構一直是Palantir的主要客戶,在該公司今年第二季所創造的6.78億美元中,有3.71億美元來自政府合約、成長23%,3.07億美元來自商業合約、成長33%。
微軟表示,此一整合解決方案將使得國防與情報領域的物流、合約、或行動規畫人員可藉由AI,來安全地建置與管理各種任務。
↧
↧
DeepMind的桌球機器人已達業餘的人類選手水準
想打桌球卻找不到對手嗎?沒關係,Google DeepMind的一群科學家已經成功打造出桌球機器人,而且該名機器人具備了業餘人類桌球選手的水準,雖然它還打不贏高手,但它贏過了所有的初學者,與中階選手的比賽也有55%的勝率。
在現實世界的任務中實現人類水準的速度及性能,一直是機器人研究的北極星指標,桌球也不例外,現在的桌球機器人只有最低階的發球機,尚無可與人類對打的機器人。或許是大家對此一研究太感興趣,於此一《Achieving Human Level Competitive Robot Table Tennis》論文中掛名的作者超過25位。
DeepMind研究人員對此一論文的主要貢獻有四,一是分層與模組化的策略架構,以低階控制器來負責機器人的具體技能,並由高階控制器來選擇與調度低階控制器;二是把自模擬環境中所學習的內容直接應用到現實的技術;三是可即時適應陌生對手的能力;最後則是在實際的賽事中對抗陌生對手的用戶研究。
這個桌球機器人可以打正手、反手,能夠連續擊球,可以打到不同的位置,還能適應不同的球風,在29場與陌生人類較勁的比賽中,機器人贏了45%,如果區分這些人類玩家的程度,機器人完全打不贏高手,但贏了所有的初學者,跟中等程度的玩家比賽,機器人也贏了55%。研究人員認為它已經具備了業餘人類選手的水準。
↧
Cloud周報第207期:第二季全球雲端基礎設施服務市場規模達790億美元,三大公雲加總市占逾7成
重點新聞(08/01~08/07)
Azure AI GitHub
微軟宣布與程式碼代管平臺GitHub合作,要將Azure AI服務帶給一億名GitHub開發者
.png)
微軟近日宣布將成為程式碼代管平臺GitHub的合作夥伴,將把自家Azure AI服務帶給GitHub社群中的一億名開發者用戶。
微軟表示,通過與GitHub的合作,這些開發者將能夠直接從GitHub.com網站建立自己的AI應用程式,並能夠與GitHubCodespaces和Visual Studio Code程式編碼器進行整合,包括從Playground中編寫程式碼,接著在Codespaces中使用模型,再通過Azure進行部署。
微軟計畫透過GitHub Models模型服務向開發者提供Azure AI的模型,包括Llama 3.1、GPT-4o、GPT-4o mini、Phi 3和Mistral Large 2等。開發者可以使用GitHub Models內建的Playground存取每個模型,並在GitHub中免費測試不同的提示和模型參數。
雲端營收 AWS
亞馬遜AWS第二季營收成長接近2成達262億美元
亞馬遜Amazon近日公布今年第二季財報,該季締造了1,480億美元的營收,成長10%,其中,AWS的營收占了262.8億美元,成長19%,營業利潤為93.3億美元,成長74%。
Amazon執行長Andy Jassy於財報會議中表示,該季營業利潤的大幅提升,除了採行成本最佳化作業發揮成效之外,也拜企業積極推動IT現代化之賜,越來越多企業將本地端架構轉移至雲端。
此外, 即使Amazon的AI業務還處於早期階段, 但其年化收入率(Annualized Return)已達數十億美元。Andy Jassy指出,該公司內部已利用Amazon Q的程式碼轉換功能,在短短的幾個月內遷移了超過3萬個Java JDK應用程式,節省了2.6億美元的成本,以及4,500名開發者一年工作時間。
雲端市場 三大公雲
第二季全球雲端基礎設施服務市場規模達790億美元,AWS仍逾3成的市占率居冠
.jpg)
市場研究機構Synergy Research Group的調查顯示,儘管受到經濟、貨幣和政治因素的影響,全球雲端市場在今年第二季依然保持強勁增長。
根據調查,本季企業在全球雲端基礎設施服務上的支出達到790億美元, 比去年同期增加了22%, 即成長141億美元。Synergy Research Group指出,這是繼2023年營收略有放緩後,連續第三季同比增長率達至少20%。
在雲端基礎設施服務方面,Synergy預估該季雲端基礎設施服務(包括IaaS、PaaS和託管私有雲服務)的收入達到791億美元,其中IaaS和PaaS服務依然是主要收入來源,該季增長了23%。
從市占率來看,三大公有雲業者中,亞馬遜AWS以32%的市占率領先,微軟Azure緊隨其後,市占率達到23%,而Google Cloud的市占率也達到了12%。這三家業者的合計市占率達到了73%。。
此外,全球各地區的雲端市場也持續強勁增長。其中亞太地區增長最為顯著,印度、日本、澳洲和韓國的年增長率均達到25%。美國市場在第二季的增長率為22%。在歐洲,最大的雲端市場是英國和德國,而愛爾蘭、義大利和西班牙的增長率最高。
國泰人壽 上雲旅程
國泰人壽揭近2年的上雲旅程,完成將十多套套系統遷移上雲
國泰人壽近日揭露過去近2年的上雲旅程,到去年底已完成將16套雲端行銷系統和一套旅平險系統轉換上雲。
國泰人壽自2022年啟動系統上雲計畫,在該年年中完成第一套系統上雲的UAT測試,接著陸續將更多系統搬上公雲進行環境測試,包括整合測試、功能測試,期間也完成壓力、滲透測試等環境平測。
遷雲過程中,國泰人壽除了將既有應用程式轉為容器化微服務架構,也和非IT人員討論雲端架構合規性,並建立安全資料傳輸機制。耗時約一年半,國泰人壽去年底開始透過雲端正式對外服務,並完成將17套系統遷移上雲,包括16套雲端行銷系統和一套旅平險系統。
碳排 Azure
微軟Azure碳排優化服務進入公開預覽
.png)
微軟Azure近日宣布其碳排優化服務Carbon Optimization現已推出公開預覽。這是微軟在今年2月推出的其中一個碳排優化工具,透過該工具,Azure開發人員不僅可以快速查看Azure使用各項服務所產生的排放資訊,迅速掌握整體碳排放情況,還能視覺化呈現逐月的排放變化趨勢。
IBM表示,這項新的雲端沙箱服務能夠追蹤伺服器的效能指標,如記憶體、CPU、網路和I/O利用率等,從而確保應用程式在短期和長期執行過程中,提供其所需的運算能力並控制預算。此沙箱在IBM Cloud VPC上自動化執行,並採用Terraform和IBM Cloud Schematics作為程式框架來管理,服務則按小時計費。
Carbon Optimization包含了多項功能,例如針對排放資訊提供更細緻的分類,如服務類型、地理位置等。該工具還推出最佳化建議的功能,協助用戶通過取消或調整閒置的資源來減少碳排放和雲端成本,此外,還提供角色存取控制機制,加強對排放資料的權限管理。
該服務也與另一款預覽的Azure Emissions Insights方案整合,可在Microsoft Fabric數據平臺中進行進階的排放分析。
AWS 圖像生成模型
AWS更新Bedrock,推出第二版Titan Image Generator圖像生成模型
日前,AWS宣布在其生成式AI服務Bedrock中,正式推出Titan Image Generator v2圖像生成模型。Titan Image Generator是Amazon自行開發的Titan系列基礎模型之一,能夠透過自然語言文本生成圖像,也可用於編輯現有圖像或生成圖像的變化。
相較於前一版本,Titan Image Generator v2加入了多項新功能。舉例來說,新推出的影像調節功能(Image Conditioning)可以根據使用者提供的參考圖像和文字提示調整輸出的圖像,包括參考的構圖和結構,以符合使用者對畫面的要求。
此外,帶有調色板的圖像指導功能可以透過提供十六進位格式的顏色清單和文字提示,來精確控制生成圖像的調色。其他新功能還包括背景移除物件影像和主題一致性功能。
Amazon Titan Generator v2模型現已在美東和美西部分區域的Amazon Bedrock中推出。
圖片來源/Amazon、Azure、Synergy Research Group
更多Cloud動態
1.Microsoft 365再發生部分服務不穩、無法存取問題,原因是DDoS攻擊防護功能異常
2.SAP推出SAP PLM方案的雲端新功能,能夠原生連接SAP雲端ERP和供應鏈管理平臺
3.GCP推出預覽版Spanner Graph服務,結合圖形資料庫功能與Spanner資料庫代管服務
4.微軟Azure Container Storage服務現已推出,可為容器原生提供磁碟區管理服務
資料來源:iThome整理,2024年月
↧
思科二款已EoL的IP電話機有重大安全漏洞,可引發遠端任意指令執行
思科本周發布安全公告,IP電話機系列軟體出現多項漏洞,包含3項可執行任意指令的重大漏洞,影響二款沒有修補程式的舊IP電話產品,思科鼓勵用戶升級。
這次修補的漏洞有5項,影響思科Cisco Small Business SPA300 Series和SPA500 Series IP電話機上的Web管理介面(UI)軟體。二款產品皆為適用中小企業的IP電話機。其中三項特別值得注意,編號分別為CVE-2024-20450、CVE-2024-20452和CVE-2024-20454,屬於風險值9.8的任意指令執行漏洞。這三項漏洞可讓未經驗證的遠端攻擊者在話機上的OS以root權限執行任意指令。
這些漏洞發生未能對輸入的HTTP封包適切檢查錯誤。攻擊者可傳送惡意HTTP呼叫到目標裝置來濫用漏洞。成功的濫用即可引發內部緩衝溢位,並以根(root)權限執行任意指令。
另外二項漏洞,包括2024-20451與CVE-2024-20453,為影響Web管理介面的阻斷服務(DoS)漏洞。漏洞出於管理介面未能檢查HTTP封包錯誤,使攻擊者得以傳送惡意HTTP封包到二款話機的Web UI以濫用漏洞。成功的濫用可讓攻擊者引發不預期受害裝置重覆載入,導致DoS情境。二項漏洞風險值皆為7.5。
思科警告,漏洞沒有迴避方法,但業者也未發布軟體更新。思科解釋,這是因為產品已經來到生命周期終點(Endo of Lifecycle,EoL),因此鼓勵用戶升級成更新一代產品。
思科旗下產品安全事件回應團隊目前尚未接獲有任何漏洞濫用的通報。
↧
研究人員揭露合法雲端服務被用於散布後門程式的態勢,臺灣也有組織遇害
駭客在攻擊行動裡濫用合法雲端服務的情況,因為能夠藉由這些服務的正常流量掩蓋非法行為,使得資安系統可能不會觸發警報,這樣的手法已是經常出現,最近有資安業者表示,他們看到今年這樣的態勢出現顯示增加的情況。
資安業者賽門鐵克指出,由於攻擊者希望避免引人注目並降低維護基礎設施的成本,他們發現有越來越多駭客加入濫用雲端服務的行列,並開發更多用於這類攻擊的作案工具。研究人員在黑帽大會的議程上,公布相關調查結果。
值得留意的是,雖然研究人員表示駭客很可能會濫用微軟OneDrive或Google Drive,但在他們公布的6起惡意程式攻擊裡,有超過半數都利用OneDrive。
在這些攻擊行動裡,我們認為名為Grager的後門程式最值得留意,原因是這起資安事故的攻擊目標涵蓋臺灣。研究人員在今年4月,看到中國駭客組織UNC5330針對臺灣、香港、越南的企業組織,部署這支後門程式。
駭客究竟如何尋找攻擊目標,研究人員並未說明,但他們提及惡意檔案來自冒牌的7-Zip網站,一旦使用者依照指示進行下載、安裝MSI檔,電腦就會在部署此壓縮軟體的過程,一併將惡意程式載入工具Tonerjam植入,並用來解密、執行後門程式Grager。
而這支後門程式啟動時,會解密用戶端ID(client_id)並根據儲存體(Blob)更新存取OneDrive的憑證(Token),從而與駭客控制的OneDrive帳號連線。該後門程式能收集系統資訊,讓攻擊者能上傳、下載,或是執行檔案,並截取檔案系統的相關資料,包括磁碟容量與類型資訊。
另一個鎖定南亞媒體而來的後門程式GoGra,研究人員認為也相當值得留意,因為,駭客將微軟的郵件服務充當C2伺服器。
究竟駭客如何對後門程式下達命令?研究人員指出,此後門程式會讀取寄件人為FNU LNU的電子郵件,這些信件的主旨皆以Input開頭,而後門程式使用特定金鑰並透過密碼區塊連結(Cipher Block Chaining)模式的AES-256演算法,解密命令的內容,並透過cmd.exe執行。
當駭客交付的命令完成後,GoGra會將執行結果加密處理,並以Output為主旨的信件,回傳給前述的使用者。
而對於攻擊者的身分,研究人員指出是他們3年前揭露的國家級駭客Harvester,這些駭客主要鎖定南亞組織發動攻擊。
還有被用於攻擊美國及歐洲IT服務業者的惡意程式OneDriveTools相當特別,此為多階段執行的後門程式,攻擊過程濫用多種雲端服務。攻擊者初期先執行惡意程式下載工具,透過圖學資料分析服務Microsoft Graph的API進行身分驗證,然後從OneDrive下載第二階段酬載並執行。
接著,攻擊者從程式碼儲存庫GitHub下載OneDriveTools最終的惡意酬載,並在OneDrive與受害電腦建立特定的資料夾,讓受害電腦透過OneDrive回傳受到感染的情況,並接收駭客的命令。
值得留意的是,攻擊者為了隱匿行蹤,他們使用名為Whipweave的隧道工具,連線到稱做Orbweaver的Operational Relay Box(ORB)網路,從而混淆攻擊來源。
↧
↧
AWS服務存在Bucket Monopoly、Shadow Resources漏洞,恐加劇S3相關攻擊的威脅
雲端服務的運作相當複雜,尤其是有許多服務於背景運作,甚至有可能作為其他服務運作的其中一環,若是這些服務運作的方式不夠安全,很有可能引發嚴重的後果。
資安業者Aqua Security的研究人員於今年2月,找到6個AWS重大層級的漏洞,並指出這些漏洞可讓攻擊者破壞所有帳號,有可能導致帳號遭到接管,或是遠端執行任意程式碼、資料外洩、曝露義感資料、引發服務中斷的情形。對此,AWS獲報後進行相關驗證,並自3月至6月逐步完成修補。研究人員也在黑帽大會上公布相關的調查結果。
這些漏洞主要偏重於「影子資源」的層面,這類資源的來源,是使用者在進行AWS服務的相關設定過程裡,由系統在背景自動產生的資源,因此這類資源的運作狀態,一般使用者往往不會特別留意。
而對於漏洞的影響範圍,研究人員指出涵蓋多項服務,包括:CloudFormation、Glue、EMR、SageMaker、ServiceCatalog、CodeStar。使用者首次在新地點建立服務的過程裡,系統會自動建立具有特定名稱的S3儲存桶,這個名稱包含用ID、服務名稱、地區。
其中一個漏洞被稱做Bucket Monopoly,起因是S3儲存桶使用了容易被猜到的AWS帳號ID,由於這個ID原本不被視為敏感資料,而讓攻擊者有機可乘。
攻擊者可藉由上述儲存桶名稱可預測的規則,搶在目標用戶之前在其他地區的資料中心建立儲存桶並植入惡意程式碼,使得受害組織試圖在新區域啟用服務時,惡意程式碼便會不知不覺在組織的環境內執行,從而讓攻擊者建立管理員帳號並取得控制權。
研究人員指出,根據他們的分析,這種ID應被視為機密,因為攻擊者一旦取得這類資料,就有機會進行相關攻擊。就算攻擊者無法直接破解控制使用者帳號,但還是能藉由這項資訊,收集用戶的各式資料。
針對這項問題,AWS已變更預設組態,經過調整的服務將不會自動產生儲存桶的名稱,若是儲存桶名稱已經存在,系統則會加上隨機的識別碼。
另一個研究人員公布的弱點被稱為Shadow Resources,攻擊者可在使用者不知情的狀態下,藉此產生AWS S3的服務元件。
研究人員起初在CloudFormation察覺此事,攻擊者可在目標用戶尚未啟用的AWS地區當中,使用現有的堆疊及名稱建立帳號,來搶占資源,當受害者將工作負載轉移到新區域,就有可能不知不覺使用攻擊者控制的S3儲存桶而受到控制。
這項弱點發生的原因在於,使用者透過AWS管理主控臺在CloudFormation建立堆疊的過程中,AWS會自動建立存放CloudFormation範本的S3儲存桶,而這個儲存桶的名稱也同樣具備相同的特性,使得攻擊者有機會用來發動攻擊。
↧
RISC-V處理器存在GhostWrite漏洞,攻擊者有機會取得設備完整控制權
開源指令集架構RISC-V通常被用於針對特定類型的應用系統,打造專屬的處理器,涵蓋各種類型的嵌入式系統、微控制器、資料中心的高效運算伺服器等,最近有研究人員揭露採用RISC-V架構的處理器漏洞。
德國CISPA亥姆霍茲資訊安全中心發現,阿里巴巴旗下的半導體業者平頭哥(T-Head)生產的RISC-V處理器玄鐵C910,存在名為GhostWrite的漏洞,攻擊者在具備特定權限的情況下,能從記憶體讀取或寫入資料,而有機會得到完整、不受限制的存取權限。研究人員也在Black Hat USA 2024國際資安會議上,揭露相關細節。
值得留意的是,雖然這項弱點主要是出現在玄鐵C910,但有鑑於是目前速度最快的處理器,影響的範圍並不小,包括個人電腦、筆電、容器,以及在雲端伺服器執行的虛擬機器(VM)。
研究人員已確認曝險的設備如下: Scaleway Elastic Metal RV裸機(Bare Metal)雲端實體,以及Sipeed Lichee Pi 4A、Milk-V Meles、BeagleV-Ahead單板電腦(SBC);再者,部分Lichee運算叢集、筆電、電玩主機也存在這項弱點。
攻擊者若要觸發漏洞,必須在目標裝置執行不具特殊權限的程式碼,這種情況在多用戶及雲端系統的環境帶來嚴重威脅。研究人員展示如何透過GhostWrite來取得root權限,以及從記憶體取得管理員密碼。
特別的是,這項漏洞與過往揭露的處理器漏洞有所不同,研究人員指出是處理器架構上的臭蟲,不涉及推測執行與側通道攻擊。值得留意的是,雖然目前尚未出現該漏洞遭到利用的跡象,但研究人員指出,他們也沒有工具或是方法能夠偵測相關攻擊。
↧
【資安日報】8月9日,資安業者公布6起濫用雲端服務的後門程式攻擊行動,並指出有臺灣組織受害
我們昨天報導有研究人員在國際資安大型會議Black Hat USA 2024公布藉由視窗作業系統更新機制「降級」的攻擊手法,這次也有研究人員公布對於特定威脅態勢的觀察,指出這種攻擊手法現在不僅變得非常頻繁,而且,還變得更加刁鑽。
這項威脅態勢,就是駭客濫用雲端服務來掩蓋非法行動的情況。在針對臺灣、香港、越南組織的攻擊行動裡,後門程式Grager存取充當C2的OneDrive帳號手法相當特別。
【攻擊與威脅】
研究人員揭露合法雲端服務被用於散布後門程式的態勢日趨複雜,臺灣也有組織遇害
資安業者賽門鐵克指出,由於攻擊者希望避免引人注目並降低維護基礎設施的成本,他們發現有越來越多駭客加入濫用雲端服務的行列,並開發更多用於這類攻擊的作案工具。研究人員在黑帽大會的議程上,公布相關調查結果。
在這些攻擊行動裡,我們認為名為Grager的後門程式最值得留意,原因是這起資安事故的攻擊目標涵蓋臺灣。研究人員在今年4月,看到中國駭客組織UNC5330針對臺灣、香港、越南的企業組織,部署這支後門程式。
駭客究竟如何尋找攻擊目標,研究人員並未說明,但他們提及惡意檔案來自冒牌的7-Zip網站,一旦使用者依照指示進行下載、安裝MSI檔,電腦就會在部署此壓縮軟體的過程,一併將惡意程式載入工具Tonerjam植入,並用來解密、執行後門程式Grager。而這支後門程式啟動時,會解密用戶端ID(client_id)並根據儲存體(Blob)更新存取OneDrive的憑證(Token),從而與駭客控制的OneDrive帳號連線。
6月WhatsUp Gold修補漏洞,8月初駭客攻擊行動開始現蹤
今年6月Progress針對網路監控系統WhatsUp Gold發布更新,當中修補重大層級的漏洞CVE-2024-4883、CVE-2024-4884、CVE-2024-4885(CVSS風險評分皆達到9.8),攻擊者能在未經授權的情況下,利用這些漏洞遠端執行任意程式碼(RCE),如今有研究人員提出警告,部分漏洞已出現實際攻擊行動。
Shadowserver基金會提出警告,他們自8月1日看到來自6個IP位址的攻擊行動,駭客利用CVE-2024-4885,企圖存取WhatsUp Gold系統的/NmAPI/RecurringReport。
研究人員特別提到,由於這項漏洞的概念性驗證程式碼(PoC)已被公開,駭客無需自行從頭拆解,就能快速將漏洞用於攻擊行動,IT人員應盡快套用相關更新。目前而言,Shadowserver基金會與該組織的全球漏洞濫用儀表板,都尚未公布目前曝險的系統數量。
其他攻擊與威脅
◆瀏覽器存在長達18年的漏洞被用於攻擊行動,Chrome、Firefox、Safari都中招
◆駭客濫用Google Drawing和WhatsApp功能從事網釣攻擊
◆研究人員公布駭客如何將人工智慧機器人Copilot變成武器
【漏洞與修補】
系統背景自動產生的影子資源恐出現弱點!研究人員揭AWS服務存在Bucket Monopoly、Shadow Resources漏洞
資安業者Aqua Security的研究人員於今年2月,找到6個AWS重大層級的漏洞,並指出這些漏洞可讓攻擊者破壞所有帳號,有可能導致帳號遭到接管,或是遠端執行任意程式碼、資料外洩、曝露義感資料、引發服務中斷的情形。對此,AWS獲報後進行相關驗證,並自3月至6月逐步完成修補。研究人員也在黑帽大會上公布相關的調查結果。
這些漏洞主要偏重於「影子資源」的層面,這類資源的來源,是使用者在進行AWS服務的相關設定過程裡,由系統在背景自動產生的資源,因此這類資源的運作狀態,一般使用者往往不會特別留意。
其中一個漏洞被稱做Bucket Monopoly,起因是S3儲存桶使用了容易被猜到的AWS帳號ID,由於這個ID原本不被視為敏感資料,而讓攻擊者有機可乘。另一個研究人員公布的弱點被稱為Shadow Resources,攻擊者可在使用者不知情的狀態下,藉此產生AWS S3的服務元件。
RISC-V處理器存在GhostWrite漏洞,攻擊者有機會取得設備完整控制權
德國CISPA亥姆霍茲資訊安全中心發現,阿里巴巴旗下的半導體業者平頭哥(T-Head)生產的RISC-V處理器玄鐵C910,存在名為GhostWrite的漏洞,攻擊者在具備特定權限的情況下,能從記憶體讀取或寫入資料,而有機會得到完整、不受限制的存取權限。研究人員也在Black Hat USA 2024國際資安會議上,揭露相關細節。
值得留意的是,雖然這項弱點主要是出現在玄鐵C910,但有鑑於是目前速度最快的處理器,影響的範圍並不小,包括個人電腦、筆電、容器,以及在雲端伺服器執行的虛擬機器(VM)。
研究人員已確認曝險的設備如下: Scaleway Elastic Metal RV裸機(Bare Metal)雲端實體,以及Sipeed Lichee Pi 4A、Milk-V Meles、BeagleV-Ahead單板電腦(SBC);再者,部分Lichee運算叢集、筆電、電玩主機也存在這項弱點。
已結束生命週期的思科IP電話存在重大漏洞,未經驗證的攻擊者能以root權限執行作業系統層級命令
思科本周發布安全公告,已結束生命週期(EOL)的IP電話設備出現多項漏洞,包含3項可執行任意指令的重大漏洞,影響Small Business SPA300和SPA500系列機種,該公司不打算提供修補程式,呼籲用戶儘速汰換設備。
這次修補的漏洞有5項,影響IP電話系統的網頁管理介面軟體,其中3項特別值得注意,編號分別為CVE-2024-20450、CVE-2024-20452和CVE-2024-20454,屬於風險值9.8的任意指令執行漏洞,可讓未經驗證的遠端攻擊者以root權限,於電話設備的作業系統執行任意命令。
值得留意的是,因為這些設備生命週期已經結束,思科強調不會提供修補。
其他漏洞與修補
◆研究人員揭露微軟Entra ID隱藏的身分驗證機制,恐讓攻擊者取得全域管理員權限
【資安產業動態】
路透社取得知情人士的消息在8月8日指出,市值約9,500億日元(65億美元)的趨勢科技在吸引外界購買的興趣後,正在考慮出售,消息一出,我們向趨勢科技進一步確認此事,該公司表示對於謠傳訊息不予評論,身為公開發行上市的資訊安全公司,持續專注以領先業界的資安平臺進行營運並服務客戶。
蘋果在自家服務引入同態加密(Homomorphic Encryption)技術保護用戶隱私,近日也把該加密技術Swift實作開源出來,讓開發者可以更簡單地在程式中應用同態加密。
該公司開源Swift同態加密套件使用了Swift Crypto中高效能低階加密原語,支援伺服器端Swift,並且可使用Benchmark函式庫進行簡單的基準測試。
近期資安日報
↧
零售IT雙周報第40期:Line推出官方帳號開店幫手,可在聊天室經營電商且內建金物流解決方案
重點新聞(0728~0810)
#LineOA #通訊軟體電商 #金物流解決方案
Line推出官方帳號開店幫手,主打聊天室內無跳轉購物且內建金物流解決方案
Line推出名為官方帳號開店幫手的開店功能,可在官方帳號(OA)聊天室中直接使用電商功能,不論消費者是否已加入OA好友,都能從直播節目連結或展示型廣告等連結,進入商店和商品頁面。Line用戶也能將電商商品作為訊息傳送到其他聊天室。
此功能內建金物流解決方案,金流支援Line Pay和藍新金流平臺,物流則支援不同物流業者宅配及超商物流方案。採用中高流量以上方案且有統編資料的OA用戶,可於OA後臺啟用此功能,開通電商功能或交易成功不須支付費用,但需要支付金流交易手續費。
#商家檔案管理 #商家訊息發布 #GoogleMap商家檔案
統一資訊推出商家檔案智慧服務平臺,用於分析連鎖品牌的Google商家檔案評論和評分
統一資訊推出商家檔案智慧服務平臺,可以管理、分析連鎖品牌Google商家檔案,甚至追蹤其他商家的商家檔案。此平臺可以一站式查詢旗下分店的所有評論,並以日、周、月單位產出分店評論情況、消費者整體意見回饋和搜尋到商家的關鍵字等資料的摘要及數據報表。此平臺還可以一次發布訊息到多家分店商家檔案,省去一一發布所需的大量時間。
不只如此,此平臺還有監看其他商家檔案統計資料的功能,可用來掌握競爭商家的服務表現與動態,有助於行銷推動。
目前統一超、家樂福、鬍鬚張等品牌已採用此平臺,意味著它至少可以支援有7,000家分店的品牌。
#無人結帳 #無人商店 #多模態AI模型
Amazon用多模態模型強化Just Walk Out技術辨識商品取放的精確度及效率
Amazon揭露自家無人結帳技術Just Walk Out的辨識能力強化。Just Walk Out技術會利用AI分析貨架重量感應器和門市天花板攝影機訊號,來判讀消費者取放商品的行為。過往,此技術主要以個別商品為主體,來處理與該商品相關的感應器訊號。新模式下,則是會同時判讀鄰近區域所有訊號,來判讀商品是否被取放。
新做法好處是,能更好的解讀複雜商品取放情境。舉例來說,如果現場有兩名消費者,分別用不同順序取放了同一區域的物品,甚至同時伸手拿同一個物品,且阻擋到攝影機視線。新的感應器訊號處理模式,就能更好判讀到底誰拿走了哪些商品。
這個改變背後關鍵是,Amazon改用了一個新的多模態Transformer模型來支援Just Walk Out。此模型不只能同時處理不同訊號源資訊來判讀商品取放,更會根據實際發生情況來自我學習,以在未來遭遇複雜商品取放情境時,更正確的解讀感應器訊號。
#開店平臺 #C2C電商平臺 #客流經營 #賣場經營
露天市集和Cyberbiz聯合推出雙平臺開店服務,結合前者高人流量及後者商家經營工具的優勢
C2C電商平臺露天市集及開店平臺Cyberbiz昨(7/31)宣布聯合推出「平臺+品牌官網」雙平臺開店服務。當商家使用雙平臺開店服務,消費者可以在露天可以搜尋到商家商品,點進去會先進到露天商品頁面瀏覽資訊。點擊購買時,就會跳轉到商家的Cyberbiz品牌官網,用訪客身分結帳,或登入品牌自己的會員後再結帳。
此服務結合露天每月破1,100萬人流量和搜尋媒合演算法,以及Cyberbiz線上線下零售營運技術,使商家有機會在高流量平臺電商曝光,又有自家官網可以深度經營會員及品牌形象。(詳全文)
#生成式AI #非規格品 #C2C電商
有400萬件商品的二手服飾電商ThredUp推出進階搜尋和文字生成穿搭範例等生成式AI購物功能
上架超過400萬件商品的二手服飾電商ThredUp推出一系列生成式AI購物輔助功能。其一是可以輸入模糊條件或使用情境的搜尋功能。第二是可以根據圖片、部分圖片、或Instagram貼文,來搜尋同款或類似商品的圖片搜尋功能。
第三個功能較特別,是文字轉模擬穿搭功能,可以根據自然語言輸入,例如「適合秋天婚禮的裝扮」,來生成從頭到腳的穿搭建議。使用者還能微調生成結果,包括顏色、風格、露膚程度等參數,再結合前述圖片搜尋功能來尋找相符商品。
#智慧購物車 #智慧零售門市
全球超過7千家分店的Aldi South Group大規模導入實體門市科技,包括即時貨架狀態瀏覽、循燈找物及智慧購物車
11個市場有超過7千家分店的大型跨國零售集團Aldi South Group大規模導入零售科技商Instacart的購物輔助技術到實體門市。在美國門市,消費者將能用Instacart手機App查詢門市內的商品是否有貨、瀏覽實體貨架的商品清單、商品資訊,以及查詢店內促銷活動。消費者還能透過App啟動貨架上的示意燈,以快速尋找商品。
在奧地利門市,Aldi South Group則開始試用智慧購物車,消費者將商品放進購物車後,推車經過專門通道就會自動結帳。
更多零售IT動態:
1.日本夏普網路商店、食品配送服務網站遭入侵,超過10萬人個資面臨外流風險
2. eBay生成式AI上架工具見效,減少了二位數百分比的上架時間並大幅提升商家滿意度分數(CSAT)到90%
3. Walmart將導入可以自動拆封即期商品包裝的技術到千家分店,加速廚餘回收流程並解放店員人力
4. 墨西哥連鎖餐飲龍頭Taco Bell將擴大使用AI得來速點餐到上百家分店
資料來源:iThome整理,2024年8月
責任編輯:郭又華
圖片來源:Line、統一資訊、Amazon、ThredUp
↧
↧
OpenAI悄悄釋出GPT-4o更新
OpenAI上周悄悄釋出多模態模型GPT-4o的更新版,宣稱提升開發速度、效能更高、價格更便宜。
有別於5月的盛大公布,名為GPT-4o-2024-08-06的GPT-4o最新版本是被媒體發現,以及在非官方通路如Azure上公布。
OpenAI說明,GPT-4o-2024-08-06更新重點之一在簡化GPT-4o及GPT-4o mini模型的結構化輸出(structured output)的過程,允許開發人員指明希望從AI模型直接輸出的格式,產生的資料可無縫合到其他系統,這對過去得花時間驗證和格式化AI輸出的開發人員特別有用,有助於提升生產力。此外,OpenAI也宣稱改善了模型回應速度。媒體測試過後,發現除了前端表現提升,後端基礎架構可能也經過強化,支援更長的輸出,並提升了系統整體回應效能。媒體相信,這是在Anthropic等新創公司競爭下,OpenAI不得不提升ChatGPT的品質。
OpenAI同時下調了更新版GPT-4o的API存取價格。每100萬輸入、輸出token為2.5美元與10美元。由Batch API存取時,同樣輸入/輸出單位價格為1.25美元和5美元,都比GPT-4o低25%到50%。
新版模型似乎也某程度部署到免費版ChatGPT上。但是不確定效能是否和付費版一樣好;雖然有人認為其程式撰寫及創作能力更佳,但也有多名用戶抱怨GPT-4o理解問題能力不足,回答也錯誤百出。
OpenAI選擇低調公布這次更新,原因可能和近日高層人事大地震有關。繼5月間共同創辦人之一的Ilya Sutskever及AI倫理主持人Jan Leike離去後,本周另一名共同創辦人John Schulman跳槽競爭對手Anthropic,而曾和執行長Sam Altman共進退的技術長Greg Brockman也請休長假,可能是離職前兆。
↧
Apple調整歐盟DMA新規措施,仍遭Epic Games執行長猛烈批評
為了符合歐盟的《數位市場法》(Digital Markets Act,DMA),Apple在一月的時候公開一系列因應措施,包括引入新的收費結構,對使用替代App Store的開發商,收取以使用者為基數的核心技術費(Core Technology Fee),並對使用替代支付工具的交易抽取傭金。Apple新措施引來開發商激烈批評,他們認為Apple沒有誠意符合《數位市場法》的精神。
歐盟執委會(European Commission,EC)在3月的時候對Apple等公司啟動調查,而在6月的時候調查結果出爐,歐盟執委會認定Apple違反《數位市場法》,因為Apple並未在App Store提供任何商業條款,允許開發者自由引導消費者採取更便宜的選擇,反而是限制開發者不得在應用程式提供價格資訊,也沒有提供開發者能推廣優惠的購買途徑。
另外,雖然Apple允許開發者向使用者提供外部連結,但是對其進行諸多限制,Apple要求應用程式中的外部連結必須為靜態連結,也就是說URL必須為固定的,無法根據用戶的不同而變化,連結也需要直接指向開發者的網站和頁面,且不能包含任何參數,這大幅限制開發者追蹤或是客製化用戶體驗的自由。歐盟執委會同時也認為,Apple針對替代App Store和支付工具的收費超過合理範圍。
Apple一月所公開因應《數位市場法》的措施,會向選擇使用替代App Store的開發者,收取每位用戶0.5歐元的核心技術費(Core Technology Fee),而使用替代的支付方法,則Apple會向開發者抽取17%的佣金,包括應用程式內的導購。
回應歐盟執委會的意見和巨額罰款壓力,Apple再次調整規範。在收費結構方面,Apple仍然保留核心技術費用,要求每年超過一百萬次首次安裝的應用程式開發者,對每個首次安裝支付0.5歐元的費用,Apple強調,他們評估核心技術費用只有少於1%的開發者需要支付。
只不過開發者現在可以在應用程式中,自由推廣和引導用戶至外部網站進行購買,Apple也還是會對使用替代支付工具收取傭金,和外部購買的交易收取5%的初次獲客費,以及視情況收取5%到20%不等的商店服務費用。
在歐盟擁有1億Apple用戶的Spotify,一月的時候就曾猛烈抨擊Apple在歐盟地區新設置的核心技術費,該收費結構將使他們客戶獲取成本10倍飆漲,迫使開發者維持現階段的方案。而Epic Games執行長Tim Sweeney這次也持續猛烈批評Apple的新方案,認為Apple對轉向替代App Store的開發者收取15%非法費用,他認為這些條款使開發者無法在具有經濟效益的情況下,同時在Apple App Store和替代App Store中發布應用,阻礙新進App Store的競爭和成長。
↧
科技業者資料庫配置不當,導致美國460萬選民資料曝露網上
VPN評比公司Vpnmentor的資安研究人員Jeremiah Fowler,近期發現美國伊利諾州部分郡的選民和選舉資料庫未受密碼保護,包括投票登記、選票模板和個人資料相關的大量檔案出現在網際網路上,Jeremiah Fowler在經過調查之後,發現這些資料庫由一家名為Platinum Technology Resource的公司管理,目前他已經通知相關單位處理。
Jeremiah Fowler進一步分析,發現伊利諾州13個郡有選舉資料洩漏的情況,這些資料庫均未使用密碼保護直接對外公開,共有460萬選民資料,另外,他還發現了15個雖有設置密碼,但是存在潛在安全風險的資料庫,這些資料庫暴露了儲存選民或是選舉檔案的路徑,可能成為攻擊者的目標。
雖然Jeremiah Fowler在第一時間通知負責的公司Platinum Technology Resource,但是該公司並未立即處理,因此Jeremiah Fowler轉為聯絡技術支援公司Magenium,Magenium在確認之後立即限制這些資料庫公開存取權限。不過目前不清楚這些選舉資料庫對外公開已有多久時間,需要經過內部數位鑑識之後,才能確定是否存在可疑存取或是資料洩漏的狀況。
這個事件之所以值得關注,重點在於涉及選民與選舉資料的洩漏,不僅威脅個人隱私安全,也可能對選舉的完整性,包括公正性、透明性和可信度造成影響。Jeremiah Fowler認為要避免類似事件再次發生,組織應該採用更複雜,且不易猜測的資料庫名稱格式,並且強化存取控制措施保護敏感資料,同時也需要定期進行安全稽核和風險評估,確保資料庫安全性。
↧