前陣子雲端龍頭AWS才正式讓Kubernetes服務EKS上線，現在輪到微軟Azure，該公司近日宣布，公有雲提供的Kubernetes代管服務AKS，正式上線。在這兩三年間，各廠商其實都已有推出自家的容器、Kubernetes代管服務，不過直到這次微軟發布，公雲服務三龍頭AWS、Azure及GCP旗下的K8s代管服務，才全部正式到位。

近年微軟加力布局Kubernetes布局，先是Kubernetes容器調度管理工具開發商Deis，將Azure容器服務改名為Azure Kubernetes服務，還推出Kubernetes應用開發使用的Draft、Brigade開源專案。微軟Azure傑出工程師Brendan Burns表示，這次微軟也擴張Kubernetes服務的可用區域，現在澳洲東部、英國南部、美國西部及北歐資料中心，都已經提供企業使用該服務了。

而此代管服務正式上線後，既有Azure用戶也能繼續免費使用。微軟也整合自家AD服務與Kubernetes，讓導入該代管服務的企業，也能利用RBAC機制，進行權限控管。而AKS也支援開源基礎架構管理工具Terraform、Azure Resource Manager（ARM）。

在今年5月落幕的微軟Build開發者大會，該公司也開始將多項產品，與Kubernetes進行整合。像是加強AKS服務，開始支援DevOps開發工作流程，從建立新Kubernetes叢集、應用程式容器化，或是整合CI/CD流程、Visual Studio Team Services，或者最後部署工作，都只需幾個點擊，就能完成操作。再者，擴大雲端監控服務Azure Monitor的應用情境，開始整合Azure Kubernetes服務（AKS），提供容器健康度檢查。

除了這些相對成熟的Kubernetes企業應用，微軟也同時在新應用領域挹注開發資源，其中一個Build大會發布的實驗性計畫，就是利用Kubernetes部署Azure IoT Edge應用，透過此IoT Edge Provider元件，可以將Kubernetes模板轉換成IoT Edge部署模板。如此一來，只要使用Kubernetes內建的Kubectl命令程式列，透過IoT Hub，開發者就可以將新系統組態設定部署至本地端物聯網、邊緣運算設備。

資安公司Nccgroup揭露了編號為CVE-2018-0495的ROHNP漏洞，該漏洞允許駭客恢復ECDSA或DSA私鑰，也就是說當加密函式庫進行TLS或SSH連線，以私鑰創建簽章時，會意外的透過記憶體快取洩漏部分關鍵資訊，駭客可以在收集數千個簽章流出的資訊後，就能恢復完整私鑰，整個過程不需要系統的管理員權限。許多加密函式庫皆受ROHNP漏洞影響，包括CryptLib、LibreSSL與OpenSSL等，使用者應盡速更新函式庫。

Nccgroup已經使用了最新版本的OpenSSL函式庫，完成了ROHNP漏洞的攻擊示範，透過記憶體快取旁路攻擊，在一分鐘以內就能恢復256位元的ECDSA私鑰。

ROHNP漏洞影響的情況端看應用程式部署的方式，不過，共通點都是需要駭客與受害者在同一部機器上執行程式碼，如此才能構成旁路攻擊。Nccgroup提到，最一般符合條件的情況便是在雲端環境，當駭客與受害者都被分配到相同的實體主機上，運行各自的虛擬機器時，駭客就能使用跨虛擬機器旁路攻擊，達成偷取SSH伺服器金鑰或是TLS私鑰的目的。

但這些工作對駭客來說很困難，首先駭客必須識別託管服務的雲端供應商，接著駭客必須在該供應商雲端服務不停地創建虛擬機器，直到其中一臺虛擬機器與受害者使用相同的實體機器，有了這個條件才能進行接下來的攻擊。第二步，駭客以TLS連接以觸發ECDSA簽名過程，並使用跨虛擬機器旁路監視洩漏出來的資訊，再使用這些資訊恢復網站私鑰。最後駭客才能攔截網站與用戶之間的流量，修改TLS封包的內容，並使用偷來的私鑰偽造簽章。

Nccgroup提到，要使用這個漏洞需要有非常專業的技術，即使完成上述流程中的任一步驟都不容易，不過，因為ECDSA或DSA的使用方式很多種，因此最危險的環節可能會在於有問題的實作模式，或是金鑰資訊被輕易地洩漏出去。Nccgroup認為，最具風險的或許是他們還沒有想到的旁路攻擊實務方面，因此ROHNP漏洞的衝擊有可能比想像還大。

ECDSA（Elliptic Curve Digital Signature Algorithm）與DSA（Digital Signature Algorithm）是常見的數位簽章演算法，從一般網站到加密貨幣都可以見到他們的身影。（EC）DSA使用私鑰與訊息混合後得到的簽章，來證明訊息是真實沒有經過竄改的，其混合的計算過程非常簡單，僅包含基本的數學運算。

在各加密函式庫中，ECDSA私鑰與訊息的混合公式就為s = k-1（m + r * x）（mod q），x是私鑰，m是訊息，k和r是長度與私鑰相同的隨機數字，組成了這個被稱為單向函數的式子。如果從已知推算未知，已有k會很容易算出r，但是只有r會很難算出k。簽章人使用x、m、k以及r來算出s，然後回傳r與s來當作簽章。

駭客已知m、r與s，目的是要算出x。而有問題的地方就發生在mod q，同餘加法運算並非固定時間，當結果大於q時會需要多一次減法計算。駭客透過收集到的簽章資料，比對以旁路攻擊監控同餘運算是否多一次減法計算時間，就能刪除不可能的數字組合，透過收集數千個簽章後，便能獲取剩下唯一的x私鑰值。

Nccgroup檢查了許多開源加密函式庫，有些僅ECDSA或DSA其中一種演算法存在問題，有部份則兩種都有。確定存在漏洞的函式庫有CryptLib（Both）、LibreSSL（Both）、Mozilla NSS（Both）、Botan（ECDSA）、OpenSSL（ECDSA）、WolfCrypt（ECDSA）、Libgcrypt（ECDSA）、LibTomCrypt（ECDSA）、LibSunEC（ECDSA）、MatrixSSL（ECDSA）與BoringSSL（DSA）。

Nccgroup提到，這個漏洞揭露屬於非典型情況，因為任何一個函式庫單獨發布安全補丁，都會透漏其漏洞細節，因此在6月13日這個漏洞訊息公開的同時，各加密函式庫的更新也都才同時釋出。

歐盟即將於本月20日至21日投票表決新版的《著作權指令》（Copyright Directive），除了全球最大的開源分享平台GitHub已於今年3月號召全球開發人員向歐盟陳情之外，電子前線基金會（EFF）本周也集結了逾70名網路專家展開連署，企圖阻擋新版著作權法的通過。

EFF與GitHub所抗議的皆是《著作權指令》中的Article 13，該條款規定網路平台必須主動且自動過濾使用者所上傳的所有內容，業者擔心的是，此舉將讓網路從一個分享與創新的開放平台變成自動監控與控制用戶的工具。

參與連署的多半是網路產業的大佬，包括發明World Wide Web，被譽為網路之父的Tim Berners-Lee，維基百科（Wikipedia）的共同創辦人Jimmy Wales，Mozilla專案的共同創辦人Mitchell Baker，以及Internet Archive創辦人Brewster Kahle等。

這些網路界的先鋒在聯合聲明中指出，他們與歐盟同樣在乎於網路上使用版權作品應有合理的營收分配，但Article 13並非達到此一目標的正確途徑。此一條款把上傳非法內容的責任從當事人轉移到網路平台，顛倒了責任歸屬，將影響網路平台的經營模式與投資，也極有可能危害自由與開放的網路。

此外，Article 13不僅影響大型的網路平台，也會對這些平台的競爭對手帶來沈重的負擔，因為部署自動過濾機制將是昂貴且繁瑣的，且相關技術也還未能完全保證其可靠性。

EFF指出，擊敗現有Article 13規範的最後希望即是歐洲議會的法規委員會（JURI）即將於本月展開的表決行動，同時呼籲該委員會的成員投下反對票。

Google現在於自家的公有雲服務HTTPS負載平衡器提供QUIC協定，而QUIC的好處除了快速建立連線外，還提供多工串流、改進封包遺失恢復以及無隊頭阻塞（No Head-of-Line Blocking）。GCP的負載平衡器會自動與客戶端協商使用QUIC協定，當客戶端不支援便會無縫退回HTTPS連線。

QUIC為快速UDP網路連線（Quick UDP Internet Connections）的縮寫，由於TCP（Transmission Control Protocol，傳輸控制通訊協定）的交握太過繁瑣，嚴重影響網路應用的效率，於是Google利用UDP （User Datagram Protocol，使用者封包通訊協定）來加速網路傳輸。當網頁客戶端使用TCP與TLS協定時，需要2到3次的伺服器往返通訊才能建立安全連線，而在交握之後瀏覽器也才可以開始發送請求。QUIC的優勢為當雙方過去曾經建立連線，那麼之後就不需要進行任何交握，便能直接開始傳輸資料，此舉大幅提升網頁載入效率達75％，透過QUIC觀看YouTube，進行重新緩衝的機率少了30％。

Google從4年前開始就在其部落格、網頁搜尋或是YouTube等服務使用QUIC協定。雖然像是Google搜尋這類的頁面通常經過良好的最佳化，也都會預先建立連線，但是使用QUIC後，仍可以提升全球頁面載入時間8％，在延遲較高的地區更可提高13％以上的效率。

QUIC內建加密功能，使用像是AES-GCM以及ChaCha20等AEAD演算法，確保連線隱私以及資料完整性，而且會對未加密的標頭進行認證，有心人士無法竄改訊息的任何部分。與HTTP/2類似，QUIC能在單一連線上進行多工多重串流，只不過HTTP/2使用TCP協定，容易發生隊頭阻塞，當其中一個封包遺失時，所有其他的串流都可能受到阻擋，而QUIC使用UDP的好處就在於丟失其中的封包，頂多影響包含該封包的串流而已。

即便連線不可靠，QUIC也不會讓其中一個請求影響其他請求的速度，Google提到，對於延遲很敏感的網路服務，QUIC將能提供更快速地連線，尤其適合行動網路或是Wi-Fi的無線網路環境，因為即使網路訊號衰退，請求也不會逾時失敗。GCP的使用者，現在可以在控制臺中，設置想要使用QUIC的IP以及連接埠，如此便完成啟用。啟用後負載平衡器會自動與客戶端進行協商，當客戶端不支援QUIC，負載平衡器也能無縫繼續使用HTTPS。

Google努力的讓QUIC變成網頁通訊標準， 網際網路工程工作小組（IETF）於2016年11月建立了QUIC工作小組，而將在今年完成第一版的草案，QUIC v1將支援HTTP over QUIC，並使用TLS 1.3作為加密交握，未來還計畫增加部分的可靠性、多重路徑以及支援像是WebRTC之類的非HTTP的應用。

三星旗下的創投基金Samsung NEXT本周宣布設立鎖定AI新創的Q Fund，投資標的為專門解決AI問題或是以AI來解決電腦科學問題的新創業者，並準備在種子或A輪融資階段就進場。

Samsung NEXT的前身為2012年就建立的Samsung Global Innovation Center，在去年更名為Samsung NEXT，同時宣布設立1.5億美元的創投基金，以人工智慧（AI）、物聯網（IoT）及虛擬與擴增實境（VR/AR）為主要投資目標，迄今已資助78家新創業者。

Q Fund現階段則已投資了兩家機器人研發公司—Vicarious AI與Covariant AI。Samsung Next總監Ajay Singh向VentureBeat透露，Q Fund每一次的投資金額約為100萬美元。

Samsung NEXT的企業開發經理Vincent Tang表示，過去的10年間，我們看到軟體吞食了世界，現在輪到AI吞食軟體了，Q Fund即是用來支持那些能創造未知世界的AI新創。

Samsung NEXT對於Q Fund採用大膽且靈活的投資政策，相中的並非是那些已採用既有AI技術的業者，而是那些具有前瞻性且似乎還不明確的AI技術，也將優先考慮技術成果而非經營模式。

Google周三（6/13）宣布，今年將在迦納成立Google AI研究中心，而這也是Google在非洲的第一個AI研究中心，將鎖定健康照護、農業與教育等AI應用。

Google早在非洲設有多個辦公室，協助訓練1,000萬名非洲民眾的數位技能，其中有200萬非洲民眾已完成課程，亦透過Launchpad Accelerator Africa計畫支援當地逾10萬名開發人員與60家科技新創，同時調整Google在當地的服務，以在不穩定的網路環境下或低階手機都能使用Google服務。

此外，非洲在機器學習的研究上也並非是蠻荒之地，去年坦尚尼亞即曾舉辦過Data Science Africa資料科學大會，南非亦曾於去年舉辦Deep Learning Indaba深度學習會議，今年也有多個非洲國家舉行攸關深度學習的IndabaX活動。

位於迦納的Google AI研究中心預計於今年開張，將與當地大學、研究人員及政府合作，打造適用於非洲的AI技術與應用。迄今Google已於全球成立多個AI研究中心，從美國、英國、瑞士、加拿大、日本、中國到法國等。

Google周四（6/14）正式讓App Maker進駐G Suite，這是一個low-code應用程式開發環境，讓團隊更容易打造客製化程式以加速開發流程。

App Maker產品經理Geva Rechav解釋了該程式的用途，指出大多數的企業都把主要的IT資源投入重要的企業應用中，諸如CRM、ERP或SCM，而忽略了能夠改善員工生產力的細節應用，根據估計，一個好的客製化行動應用平均一周可節省每名員工7.5小時的工作時數。而App Maker即允許業務線團隊打造那些大型應用無法顧及的小功能，例如叫出採購訂單。

App Maker提供許多範本與案例，採用宣告式的資料建模與拖曳的操作介面，不只是IT開發人員之外，稍有程式概念的人都能輕鬆利用App Maker打造出客製化應用。

它除了能夠連結Gmail、Calendar或Sheets之外，也能藉由Apps Script存取逾40種Google服務、GCP或支援JDBC 與REST的其它第三方服務。

Google是自2016年11月開始測試App Maker，正式版直至本周才出爐，不管是G Suite Business、G Suite Enterprise或G Suite for Education用戶都可使用該服務。

現在不只要小心隔牆有耳，現在還要注意隔牆有眼，MIT研究出能穿牆精準估測人體2D骨架的技術。研究團隊以深度學習分析射頻（Radio Frequency）訊號，並以先進的視覺模型來提供跨模態的監督訓練，與一般基於電腦視覺的技術不同，由於無線電訊號可以穿牆，因此即使人體位於障礙物後方，姿勢仍然可以被感知出來。

估量人體姿勢是電腦視覺在監控、活動辨識以及遊戲重要的任務，電腦被期望可以分辨出人的頭部、軀幹與四肢等重要部位，而這個技術在過去也的確有長足的發展。不過，視覺遮蔽是其中一個根本性的障礙，過去會以可見的部位推測不可見部位的動作，但由於人的肢體靈活性很大，因此光靠推測難以取得準確的結果。

MIT的研究團隊使用完全不同的思維來處理姿勢估量的遮蔽問題，既然可見光容易遭到不透明物體的遮避阻擋，那使用無線電波就能穿透這些物體了。在近期有部分類似的研究，但是都只能頂多做到偵測人體的移動速度或是產生一個人體模糊的輪廓，皆無法具體的描述人類的精確姿勢。

這個MIT團隊提出了RF-Pose方法，這是第一個使用神經網路解析無線訊號，即便人體受到障礙物遮蔽，都能夠精確提取人體2D姿勢的研究。RF-Pose的概念是發射低功率無線訊號，觀察訊號在環境的反射情況，以估量人體姿勢，而他們也只把無線電反射當作系統輸入。

不過這個方法有一個挑戰，研究團隊無法提供模型標籤訓練資料，因此他們使用跨模態的監督訓練。在訓練期間，連接無線感測器與網路攝影機，同步無線以及視覺串流，透過傳統電腦視覺提取姿勢資訊，並將其當作無線串流的監督訊號。一旦模型訓練完成，輸入就只剩無線訊號，輸出則為2D的人體姿勢。

RF-Pose不只可以在人體未受遮蔽的情況下，抓取人的姿勢外，連人體完全受到遮蔽的情境也可以運作的非常良好，無論是一個人或是多個人都不是問題，RF-Pose甚至可以同時對場景中100個人抓取每個人的骨架，而這正是傳統基於電腦視覺做不到的事，因為人們在畫面中會互相遮蔽，而使用無線電波當作輸入，則完全沒有這個問題。
 

歐盟新著作權法飽受外界的批評，完全不輸當時美國FCC廢除網路中立法案的時候。今年3月GitHub號召開發者向歐盟陳情後，電子前鋒基金會（Electronic Frontier Foundation，EFF）也在4月直批歐盟修法越修越爛。而由於新著作權法將在6月20與21兩日投票，各界近期更是火力全開，EFF再次集結逾70位網路專家，對修法砲轟一波，而今科學家們也加入反對的行列，表示歐盟新著作權法將扼殺開放科學發展。

歐盟新著作權法飽受爭議的有兩條文，除了第11條的鏈結稅（Link Tax）外，還有第13條規定網路平臺需建構自動審查機制，確保使用者不會上傳侵犯著作權的內容。而科學界對這兩條文都有意見，以鏈結稅來說，出版商得以要求網路平臺支付使用其出版著作的文字片斷與表格的版權費用。

過去發生在西班牙的案例，其新智慧財產權法中被稱為Google稅的設計，讓媒體得以向Google的新聞平臺收取不可分割鏈結稅，致使Google關閉了其在西班牙的新聞服務。而顯然Google學術搜尋服務也在此次歐盟新著作權法的衝擊範圍中，而對於學術單位帶來的衝擊是，鏈節稅明顯會加重學術論文平臺的營運負擔。歐洲研究圖書館協會（Association of European Research Libraries）芬蘭版權專家Maria Rehbinder就明確表示，他們不希望在支付論文授權費後，還要支付額外的費用。

開放研究倡導者認為，科學文章描述的事實以及資訊必須保持無版權的狀態。EFF之前就指出，第11條修正條文對於大型出版商過度有利，確實，大型學術出版商也大多支持該修正案，其中包括科學、技術與醫療出版商國際協會（International Association of Scientific, Technical, and Medical Publishers，STM）。

另外，新著作權法中第13條修正條文，將要求研究文章儲存庫對內容進行審查，以避免受版權保護的論文及其他內容被上傳到該平臺。目前現行作法，學術出版商有責任下架遭通知的非法內容（Notice and take down），學術出版與學術資源聯盟（SPARC）的歐洲主任Vanessa Proudman表示，現在這個制度運作良好，像是學術社交網路ResearchGate在近幾個月已經禁止公開存取其170萬篇的論文，但新的修正案卻要求許多網路平臺必須設置版權過濾器，以要求臉書或是YouTube這類大型網路公司的標準要求學術平臺，未免增加太多負擔。

在國家研究資助機構協會歐洲科學（Science Europe）負責法務事務的Marie Timmermann則提到，雖然這項修法並不完全是壞事，對這些論文進行文字探勘出來的內容，在公眾利益豁免權下，公共研究機構的科學將是可以免費合法使用的，不過另一方面來說，這項豁免並沒有擴及企業，因此歐洲受資助的研究專案可能會有問題，特別是有商業合作夥伴參與資助的研究。他希望歐盟的立法者可以針對這些法律適用的實務，刪除新著作權法的缺陷。

提供應用程式監控服務的Datadog，最近有許多產品補強，針對容器、雲端原生應用環境，先是推出容器監控地圖，搭配視覺化呈現方式，觀察容器基礎架構的整體運作狀況；再來是支援許多開發者愛用的監控工具Prometheus，除了Datadog監控應用程式的數據，現在可以結合Promethues蒐集來的數據，同時監看。當AWS Kubernetes服務上線後，Datadog也馬上搶進支援，開發者可以一併觀察容器、Kubernetes叢集及EC2節點的運作狀況。

而在近日，Datadog也宣布開始要支援甲骨文資料庫（Oracle Database）了。當使用者整合Datadog與甲骨文資料庫後，該監控平臺就會自動收集數據，將資料庫中重要的Metrics視覺化，而使用者可以立即客製化儀表板，並且設定系統發布警報的標準，例如，當資料庫的效能表現、容量低於一定數值時，系統就會主動推播通知，告知資料庫管理員。Datadog表示，該監控平臺會監測甲骨文資料庫的資源使用率、效能表現、硬碟I/O，以及系統全域記憶體（System Global Area）內快取、緩衝區的運作情形。

而Datadog特別舉了該平臺用於監測資料表空間（Tablespace）、快取資料，以及資料庫反應時間的使用情境。首先是資料表空間，該監控平臺可以各別列出表空間的使用效能、容量大小。藉此，使用者可以判定是否要重新配置資料表空間。

再者，為了改善資料庫使用效能、降低Query latency，必須仔細調整甲骨文資料庫的記憶體配置結構。而利用Datadog監控平臺，可以監測Cache Hit Ratio、Buffer Cache Hit Ratio，或整體資源池使用率等數值，藉此如何調整資源使用分配，讓頻繁被存取的資料能善用快取機制，加速資料庫效能。

此外，當硬體存取次數過於頻繁，硬碟I/O過高，也會降低使用者體驗。因此，Datadog監控平臺也能讓使用者監控服務等待時間、SQL服務反應速度，或者列出消耗硬體資源的活動，更快掌握當前硬體的運作情形。

使用者可以立即客製化儀表板，並且設定系統發布警報的標準，例如，當資料庫的效能表現、容量低於一定數值時，系統就會主動推播通知，告知資料庫管理員。圖片來源：Datadog

Datadog監控平臺可以一次列甲骨文資料庫中各個表空間的使用效能、容量大小。藉此，使用者可以判定是否要重新配置資料表空間。圖片來源：Datadog

Datadog監控平臺也能讓使用者監控服務等待時間、SQL服務反應速度，或者列出消耗硬體資源的活動，更快掌握當前硬體的運作情形。圖片來源：Datadog

微軟於本周透露，下一個Windows 10測試版中的Microsoft Edge將開始封鎖網站上自動播放的影片。

Google是在今年4月出爐的Chrome 66就開始部署自動播放（Autoplay）政策，該政策只允許消音或未含聲音的影片自動播放，或是在使用者瀏覽該站並點擊特定位置時才播放，目的是為了避免使用者被非預期的聲音嚇到。

微軟是在本周四（6/14）釋出Windows 10測試版Build 17692時揭露了該功能，指出該版本的Microsoft Edge新增了一個設定，允許使用者控制網站的媒體自動播放功能。

有趣的是，微軟顯然出了一個小紕漏，很快就把該功能從Build 17692的發表文章中劃掉，並說明此一功能得在幾周後釋出的Windows測試版中才會出現。

微軟於本周公布了一份攸關安全承諾的草案，載明了微軟用來評估是否修補漏洞、提供安全更新的標準，以供安全社群在提交漏洞或期待微軟回應時參考。

決定微軟是否修補漏洞的兩個關鍵問題分別是該漏洞是否危及微軟承諾要維護的安全邊界或安全功能，以及漏洞的嚴重性是否符合維護條件，倘若兩個答案都是肯定的，那麼微軟即會進行安全更新，若為否定，微軟則會考慮於該產品的新版中修補它。

微軟所指的安全邊界則是在有不同信賴程度的程式碼與資料安全領域上的邏輯分離，舉例來說，核心模式與使用者模式之間就存在著安全邊界，微軟於軟體中設定了許多安全邊界以隔離網路上的裝置、隔離虛擬機器，或是隔離裝置上的應用程式等。

迄今微軟已定義了8個安全邊界，包括不允許未授權的網路終端存取或竄改客戶裝置的網路邊界、禁止非管理員權限存取或竄改核心程式與資料的核心邊界、禁止非授權用戶存取或竄改其它程序的程序邊界、禁止基於AppContainer的沙箱程序存取或竄改沙箱外程式碼與資料的AppContainer沙箱邊界、一名用戶的登入期間不得被其它未授權的用戶登入期間所存取或竄改的期間邊界、禁止未授權網站違反同源政策的瀏覽器邊界、禁止未授權 Hyper-V客座虛擬機器存取或竄改其它客座虛擬機器的程式碼或資料的虛擬機器邊界，以及禁止VSM Trustlet或Enclave內部資料或程式遭到外部程式存取或竄改的虛擬安全模式邊界。

至於在安全功能上則有7項，它們分別是裝置安全（BitLocker與Secure Boot）、平台安全（Windows Defender System Guard）、應用程式安全（Windows Defender Application Control）、身分及存取控制（Windows Hello /Biometrics與Windows Resource Access Control）、加密API、裝置健康證明（Host Guardian Service）與身分驗證協定（Authentication Protocols）。

舉凡可用來侵犯上述安全邊界或安全功能的漏洞都將被微軟列為修補與安全更新的對象。

不過，微軟特別強調有些安全功能在未經承諾下也提供了威脅防護能力，微軟將這些功能稱之為深度防禦功能（defense-in-depth）或緩解，由於它們是額外的安全功能，且有設計上的限制，因此微軟並未提供安全上的保證，還說就算繞過這些功能也不會帶來直接的威脅，因為不管如何，駭客必須先找到一個可以危及安全邊界的漏洞，或是仰賴社交工程手法才能危害裝置。

總之，微軟認為可繞過或危及深度防禦功能的漏洞都不在該公司承諾修補的範圍內，而可能會藉由之後的產品更新修補。

它們包括User Account Control、AppLocker、Controlled Folder Access、Mark of the Web、Data Execution Prevention、Address Space Layout Randomization、Kernel Address Space Layout Randomization、Arbitrary Code Guard、Code Integrity Guard、Control Flow Guard、Child Process Restriction、SafeSEH/SEHOP、Heap randomization and metadata protection、Windows Defender、Exploit Guard、Protected Process Light及Shielded Virtual Machines。

日前容器資安新創Aqua釋出了一款免費的映像檔掃描工具MicroScanner，相比付費版本，MicroScanner的應用情境較為陽春，僅能在Dockerfile執行建置階段時進行掃描工作。而在近日，Aqua也補強此款漏洞掃描工具的功能，推出免費映像檔掃描套件支援Jenkins。Aqua目前已經把該Jenkins套件，公開在GitHub頁面。Aqua表示，使用此功能前，必須滿足兩個條件。首先，必須將Docker與Jenkins，安裝在同一臺主機上。第二個條件，Jenkins使用者必須被加入Docker群組，擁有執行Docker的權限。

完成安裝MicroScanner與Jenkins套件後，就能將容器映像檔掃描服務整合至持續整合流程，當容器映像檔經過建置流程時，會透過MicroScanner掃描，如果發現該映像檔存在漏洞，映像檔建置工作就會失敗。藉此，確保部署至正式環境中的映像檔，都有一定安全性。此外，使用者也可以整合Jenkins與HTML，漏洞掃描工作完成後，相關報告輸出成HTML頁面。

想要使用該套件的開發者，必須先取得一組Token，完成安裝、組態設定後，輸入該組Token啟動MicroScanner。圖片來源：Aqua

安裝完畢後，MicroScanner就可以整合至開發建置流程。當該工具發現映像檔存在嚴重漏洞時，使用者可以選擇產生報告，並且繼續允許通過建置。或是產生系統報告，並且讓系統無法完成建置工作。圖片來源：Aqua

開發者還可以把MicroScanner插入Build Step腳本。圖片來源：Aqua

當MicroScanner被整合至Build Step後，以後開發者使用Jenkins進行自動化建置工作時，系統也會自動執行容器映像檔掃描。圖片來源：Aqua

當映像檔完成掃描後，MicroScanner會判讀該映像檔的風險程度，並且列出該映像檔中存在的漏洞數目。圖片來源：Aqua

在掃描報告中點選「漏洞」選項，系統會列出更多漏洞細節，包含漏洞的CVE編號、風險程度。除了已有CVE編號的漏洞，其他被軟體廠商揭露，但是尚未列入編號的漏洞，一旦MicroScanner掃出該漏洞存在，也會在該清單中列出。圖片來源：Aqua

由於React Native當初的設計架構以及原則，限制了部分功能開發的彈性，因此臉書向社群說明，他們正對React Native的架構進行三大修改，包括執行緒模型、非同步渲染以及更簡單的橋接機制，不過，開發者不需要擔心，這些改變都是低層架構調整，對於現存的應用程式不會有影響。

臉書React工程經理Sophie Alpert提到，在2013年他們啟動React Native專案時，與JavaScript間建立了非同步、序列化和批次處理的單獨一橋接方式。她舉例，就像是React DOM把React的狀態更新轉為可變呼叫DOM API，例如document.createElement(attrs)與.appendChild()，或是React Native被設計回傳一個需要更新的JSON清單訊息。

這些機制除了確保系統永遠不依賴同步回應外，所有內容也都能轉為序列化，以JSON格式回傳。而這樣的設計概念源自於要給這個架構額外的靈活性，基於這個靈活性，可以用來建置Chrome除錯工具，在執行JavaScript程式碼的同時，還能夠非同步執行WebSocket連線。

不過，在5年前為了增加靈活性而設計的架構卻顯得越來越綁手綁腳，她提到，非同步橋接表示開發者無法直接整合Native API與JavaScript邏輯取得同步結果，而批次橋接則會以佇列暫存Native的呼叫，這使得React Native函數呼叫難以原生實作。另外，序列化的另一個意思，在可以共享記憶體的情況下，卻以不必要的複製方法處理。他認為，這些限制對於完全使用React Native開發的應用程式不是問題，但是當要與其他既有的App程式碼整合，便會讓開發者崩潰。

為了解決這些問題，臉書現在正研究React Native的大規模架構，並且讓開發框架更具彈性，JavaScript/native混合App能夠以原生基礎架構整合得更好。

要讓React Native更輕量，並且與原生App結合更好，新架構將進行三個主要內部改變，首先臉書改變了執行緒模型，有別於現行UI更新需要三個不同的執行緒，未來將可以使用任何執行緒，對JavaScript同步呼叫進行高優先度更新，並且同時為其他非主執行緒處理的工作保有回應性。第二是在React Native中加入非同步渲染能力，除了提供多重渲染優先順序外，也簡化了非同步資料處理。最後，他們簡化了橋接機制，使其更快更輕量，未來Native與JavaScript間的直接呼叫更有效率，建置像是跨語言堆疊追蹤等除錯工具會相對簡單。

臉書重新撰寫了許多React Native的底層，帶入了許多更現代的架構，但是這些改變都是開發者看不見的，現有的React Native應用程式將能幾乎不做任何改變繼續正常運作。

《臺灣資安市場地圖》首發Alpha版，首先整理自iThome 2018臺灣資安大會CyberEXPO百大資安展，未來我們將持續更新，以完整涵蓋臺灣資安市場全貌。由於資安市場龐大、技術發展快速、廠商併購頻繁，我們將盡可能以最快的速度保持更新，歡迎大家與我們交流討論。

《臺灣資安市場地圖》PDF下載：下載連結

聯絡資訊： ithomecyberscape<at>mail.ithome.com.tw

《臺灣資安市場地圖》PDF下載：下載連結

聯絡資訊： ithomecyberscape<at>mail.ithome.com.tw

著名廣告阻擋擴充套件Adblock Plus的開發商Eyeo GmbH推出了新的專案Trusted News，目前提供Google Chrome瀏覽器的擴充套件，來幫助使用者在瀏覽網頁時，識別新聞的可信度，分為可信、不可信、諷刺網站、惡意、標題黨等各種等級。

資訊快速傳播的同時，假新聞也猖狂流竄，臉書甚至坦承，社交平臺有害民主的原因之一，便是假新聞當道，臉書除了一直致力研究打擊假新聞的方法外，各大科技公司，包括臉書、Google、推特及微軟Bing也在去年加入信賴專案，期望以技術標準量化媒體倫理、記者背景以及其作業方式，試圖產生足以評估新聞品質的指標。

這個打擊假新聞的專案Trusted News主要建構在MetaCert協定上，以群眾外包結合區塊鏈技術來打擊假新聞。MetaCert則是獨立的資安公司，在2017年開始提供警示使用者假新聞的功能，而目前MetaCert擁有世界上最大的分類新聞內容資料庫。因此Eyeo GmbH才找來MetaCert，合作建構這個假新聞查核專案。

透過事實查核資源全球網路，綜合了PolitiFact、Snopes、Wikipedia與Zimdars列表等這些無政治影響的可信資料，並將這些信任訊號以MetaCert協定打包成可機讀格式，然後在相關社群媒體帳號與大規模全球群眾外包資料庫間交叉參照。

而現在MetaCert服務建構在分散式帳本技術以太坊區塊鏈上，允許使用者、事實查核者與MetaCert團隊以更加透明的方式，存取這些可信度資料。而特別的是，這個可信新聞網路還存在獎勵機制，由於是建構在區塊鏈上的服務，使用者可以提交新聞，事實查核者可以驗證身分以及可信度，這個網路會以具現實價值的加密貨幣，獎勵那些貢獻心力的人，並且透過在社群中合計可信度產生聲望分數。

Trusted News會檢查使用者瀏覽網站的真實性以及有效性，當網頁內容是基於主要來源，則被標示為可信，當內容無法被主要以及次要資料證實，那便會標記為不可信，內容存在政治偏見，或是個人政治評論文章，則會被標記為具偏差（Biased），Trusted News也會對包含幽默或是嘲笑的內容分級為諷刺（Satire），而對於標題殺人吸引點擊率的文章，也會標記為標題黨（Clickbait）。

另外，由第三方貢獻者產生的內容，像是來自推特、部落格或是Podcasting等，則會標記為使用者產生的內容。不存在足夠資訊支持的內容，則標為未知（Unknown），特別的是，對於有意對電腦或是個人安全遞送威脅內容的網站，會被標記為惡意（Malicious）。

走進尋常住家的巷弄，看見家家戶戶張貼的春聯題字內容，大多都是祝福和祈願生活富足平安，不過，有張春聯倒令我印象深刻。那是佛光山星雲大師在2016年的賀歲墨寶，上面寫著「聰敏靈巧」，據說是配合年度生肖而開示的修持方向（猴年）。

起初看到這四個字，我覺得很突兀，很難想像這是一種祝福，很多人應該也會很訝異，因為這跟社會大眾認知的佛教徒刻板印象，例如消極、被動、厭世，大相逕庭。乍看之下，聰敏靈巧是非常世俗的「處事」原則，如何跟強調出世的修行方式有關呢？

這讓我想到佛教的聖者釋迦牟尼，在初次講經說法時所提到的「四諦」，應該有不少人知道是苦、集、滅、道，除了知道裡面的意義之外，為了進一步讓更多人能夠了解內涵和寓意，還衍生了所謂的「十六行相」，其中的苦，包含：無常、苦、無我、空，先不論苦、無我等兩種主觀感受和認知，但無常和空性所意味的變動不居，是比較容易理解的現象，而因應這樣的局勢，重點在於不要執著，但並不表示只能坐以待斃、消極承受，身而為人如果要離苦得樂，還是能夠採取積極、主動的態度來因應，此時，我們當然需要「聰敏靈巧」，來達到自度、度人的目標。

因此，這四個字的應用，並非僅限於猴年，或是佛教徒，放諸四海而準，也還是適用，如果用在IT領域，倒也貼近當前的IT架構發展趨勢。

從大型主機，走向主從式架構，再到網際網路崛起而帶動了所謂的「第三平臺」，大數據與資料分析、雲端服務、行動應用、社交網路等應用，風起雲湧而來，像是系統廠商IBM，就以「大智移雲」，來囊括大數據、智慧裝置、行動應用、雲端運算等4大關鍵技術趨勢，之後，也用「A、B、C、D」來稱呼（AI、Blockchain、Cloud、Data），看來IT的世界和影響力，正不斷擴張，也從企業應用開始擴及消費應用。

然而，在整體IT架構的變化來看，從「集中」走向「分散」、從整體（Monolithic）走向細小（Microlithic）的局勢相當顯著，早先是封閉的大型主機，後來則趨於採用開放的軟硬體技術，而應用系統運作的粒度也越來越微小，從實體主機，走向虛擬化，而近年來容器應用當道、微服務開始崛起，也使得IT架構化整為零的態勢更為明顯。

但臺灣企業開始擁抱這個趨勢了嗎？在今年的iThome CIO大調查結果當中，我們看到已經有14.7％的企業採用Open API，而使用Docker的企業也超過1成，引進微服務架構的比例達到6.4％，採用Serverless架構的企業也有8.8％。

看到這樣的應用趨勢開始萌芽，很多人感到興奮，因為風向開始轉變，可能會帶來更多的發展機會，但應該也有不少人持保留態度，覺得還要再繼續觀望。迎接這種新的IT架構，目前的確仍有不小的風險，不過，我想提醒一件事，企業當然必須要設法持盈保泰，達到永續經營的理想目標，然而，仍需要面對頻繁變化的挑戰和市場局勢，當你的同業、競爭對手，甚至是網路犯罪份子、駭客，也都開始擁抱這樣的技術，成為「心思機敏，機變百出」的對手之際，而企業本身透過既有的技術架構，不做任何改變，真的還能像過去那樣，以逸待勞嗎？

速度和穩定可靠，向來是資訊部門的兩難。但近年來，更快、更輕薄短小的容器與無伺服器架構技術逐漸成熟，開始成為臺灣企業轉換IT基礎架構的選擇

3年前，金管會帶頭推動下，臺灣掀起一波Bank 3.0改造浪潮，各家銀行紛紛開始打造數位金融環境，不只將現有銀行業務數位化，也大舉搶攻行動支付的未來大餅。但有一間成立才三年多的凱基商業銀行（簡稱凱基），在一開始的數位戰略布局，選擇了一條截然不同的道路。凱基採取的策略很不一樣，不只暫緩跟進行動支付戰場，先攻數位信貸，去年還搶先推出臺灣第一個銀行開放API，一反傳統銀行向來「封閉」的作法，改以「開放」切入金融生態系的卡位戰。

成立不久的凱基銀行，其實擁有一顆老靈魂，它前身是1992年即開始營業的萬泰銀行，在2014年被中華開發金控納為子公司，從那一刻起，凱基就肩負著整個集團數位轉型前鋒的重要角色。

有著悠久歷史的中華開發金控，擁有400、500億元的創投規模，在這幾年間又陸續將凱基銀行、凱基證券與中國人壽納為子公司，可說是坐擁雄厚資源的企金老字號。在臺灣這波金融數位轉型浪潮下，也想轉型卡位消費金融版圖，第一步就是成立一間新銀行，也就是凱基商銀。肩負著集團數位轉型領頭羊的凱基，更找來業界消費金融的戰將擔任轉型操盤手，他就是身兼中華開發金控資深副總經理，以及凱基銀行創新科技金融處資深副總經理的周郭傑。

毫不猶豫離開了熟悉的消金戰場，「因為這裡是一個全新的戰場。」一談到新挑戰，周郭傑的眼神閃閃發光。

臺灣大型銀行的數位策略，多半以既有個金業務基礎，作為一塊大磁鐵，來吸引Fintech生態系的合作夥伴，龐大用戶的個金或支付服務，是他們與伙伴建立鏈結的利器。但周郭傑認為，擁有400、500億元創投規模的中華開發金控，先天條件有更強的優勢，進軍Fintech生態系的數位策略上，可以有更多元的切入角度。

「Fintech要成功有3個關鍵要素。」周郭傑指出：「一是金融業對生態系的影響力，就是指（銀行）和Fintech業者之間的距離。」如投資對象或Fintech合作夥伴遇到問題，若先尋求中華開發金控的協助，這意味著彼此的距離近，容易產生一定的影響力。「第二個關鍵是市占率，」包括一家金融業自身業務的完整性，以及金融產品在市場上的地位。第三個關鍵是「能不能超越既有包袱」，尤其是越成功的包袱，越不容易跨越數位轉型。

但，「Fintech最終目的要改善用戶體驗，需進入新的宇宙探索準確的客戶族群，為了轉換思維創造精準分析，更要用許多新案例來突破。」周郭傑這句話，道出他規畫凱基銀行數位發展戰略的核心精神。

不擠進支付紅海，凱基以數位信貸為主力產品

凱基銀行打從一起步，就訂定了數位發展的四大策略。首先，要找出具備剛性需求的策略性產品，作為數位化的第一步。凱基以用戶體驗缺口、集團與異業的應用場景、使用大數據分析等要素，從三個角度來選出具備剛性需求的策略性產品。周郭傑解釋，從2014年開始，許多銀行都在搶攻跨境金流與行動支付的市場，凱基銀行卻反其道而行，不擠進支付的紅海，而先挑選數位信貸、數位理債、理財等產品，作為數位化的初階策略。「起步時，能帶著你摸著石頭過河的嚮導更為重要，這時的產品身負重任，會決定接下來數位發展的成敗。」所以，具有剛性需求族群的信貸，是他切入數位發展的首選。

而在臺灣近來風行的行動支付，剛性需求的程度則遠不如信貸，據凱基內部調查數據，在沒有行銷與贈品的驅動下，100人之中只會有3人使用行動支付。因為目前行動支付的忠誠族群不明顯，若能透過AI預測模型，來分析大數據，更精確地找出目標族群提供服務，才能降低每位客戶的行銷成本，那時才會是凱基回過頭切入行動支付的時機。

周郭傑直言，在挑選數位產品指標時，還是要為公司創造經濟效益，不能假借創新之名而忽視這件事。不過，凱基沒有花太多時間挑選數位化的目標產品，很快就選定目標。這也有賴周郭傑在金融業打滾22年的資深經驗，他擔任過支付、貸款與許多金融產品的產品經理，豐富的經驗讓他能快速找出，數位與產品結合後最有價值的起手點。

一個組織需要有三分之一的開放型人才，藉助他們樂觀、開放的態度為團隊產生積極氛圍。──中華開發金控暨凱基銀行創新科技金融處資深副總經理 周郭傑　 （攝影／洪政偉）

團隊創新之道，採類Agile增效率

凱基新推的數位信貸，與過往的信貸產品有何區別？周郭傑說，凱基想做到貼近客戶，讓客戶沒有「厭惡感」。他解釋，舊式數位信貸多半只是將實體流程表單轉移到網路上操作，客戶還沒申辦貸款就得先勾選4到6個同意事項，或像凱基自己過去的申請表單中，甚至要客戶填寫4個地址才行，他說，這就是不夠體貼客戶的設計。

為了優化客戶體驗，凱基重新設計全套信貸申辦流程，將原本53個信貸申辦步驟，簡化成20個。例如透過跨產品系統的比對，自動帶出現有顧客的資料，不用重填只需檢視確認即可，或像是結合OCR辨識技術降低資料重填麻煩。甚至凱基利用新的驗證機制來強化身分確認，進而取代了過去線上簽名的作法。

凱基在去年8月啟動數位信貸申辦平臺專案，但在這之前，光是與10幾個單位溝通，就花了半年的時間。不僅業務單位對於數位有恐懼感，債權單位也考慮後續貸款延伸催收的複雜，所以對於數位又更加抗拒，光是移除線上契約的簽名頁，創新科技金融處團隊就費了好幾個月時間溝通。

為了讓UI/UX（使用者介面/使用者體驗）的流程設計更加理想，凱基蒐集了30幾個國內外銀行信貸產品的線上申請流程，先設計出一個周郭傑暱稱為「香草冰淇淋口味」的最佳申辦流程，再逐步參考現行申辦流程來找出改善之處，就像有了原味冰淇淋後，再來淋上各種風味和裝飾甜點增加變化。

另外也採用類Agile（敏捷式開發）的產品開發模式，縮短開發流程，更讓業務單位也參與其中。團隊共同構思出大致原型後，再把流程紙本印出直接貼到公司牆壁上，讓所有同仁可以隨時在這面牆上進行討論與即時調整，來思考哪些步驟還可以再精簡。這面貼滿一步步操作畫面A4紙的牆壁，也成了跨部門溝通的最佳利器。「將網頁具象化後，討論也會更具體，其它單位的同仁透過流程圖，也能一步步了解與模擬操作，進而降低恐懼。」曾是跨國電商開發團隊主管的凱基銀行金融科技整合部協理陳哲煜，點出類Agile作法對開發數位產品的好處。

碎片化服務內嵌集團子公司，提供客戶無斷點數位跨售

不只要找對起點產品，凱基數位發展第二個戰略是「將銀行服務碎片化與模組化。」周郭傑解釋，客戶在線上金融產品的申請流程，通常會有身分認證或是透過OCR辨識功能，將提供檢附的資料，包括身分證、名片、信用卡，從圖片文字轉化成文字檔，而這都是拆解獨立出來運作的數位服務，甚至可以放到其他銀行服務中，也就是他所謂將原有服務「碎片化」的概念。

他表示，過去中華開發金控子公司，如中國人壽或凱基證券的客戶，若要辦理銀行金融產品，則由他們直接轉介給凱基銀行接手，但現在將銀行服務碎片化後的每一項功能，反而可以內嵌到其它子公司的數位服務中，簡而言之，客戶在中國人壽或凱基證券的數位平臺，欲申辦銀行的金融產品時，若需要相關身分證明，就可以直接串連原本就記錄於中國人壽、凱基證券的客戶資料，直接完成申辦流程，免去客戶再重新填寫資料的繁複過程。做到了第二個「碎片化和模組化」策略，就可以實現「完成沒有斷點的數位跨售。」這就是凱基的第三個數位發展策略，要讓銀行的金融服務，可以更容易地整合到同集團其他類型的服務中，來進行跨售。

原有服務碎片化之後，API能扮演銀行、證券與人壽子公司之間的數位橋梁，還可以延伸原有的數位服務並提升客戶體驗。不過，他坦言，背後仍有不小的挑戰，因為許多金融產品都有既有的產品經理，數位跨售打破原有的產品線後的影響，如何重新設計績效計算模式等，都是未來可能要解決的問題。

自成AI小組分析與異業結盟累積的大數據

凱基銀行去年11月推出的開放API服務KGI Inside，鎖定異業進行合作，這正是他們第四個數位發展策略「異業合作」的一環。透過KGI Inside將銀行服務提供給其他業者進行串接，同年12月還結盟餐廳PoS系統新創iCHEF，透過KGI Inside的大數據模組分析應用來協助店家整合金融服務，凱基也可從中累積更多客戶端的資料數據。

iCHEF是中華開發金控所投資的公司，後續才與凱基銀行KGI Inside合作，周郭傑透露，透過與iCHEF的整合，過去只能透過營收結帳資料來分析餐廳營運績效，現在可以進一步蒐集到更多餐廳顧客的數位足跡，如點餐明細、等候與用餐時間等。他說，資料量比原有的資料，整整多了20倍，凱基也利用這2萬多筆資料中，挑出最相關的15到20個消費者屬性來建立分析模型，以更全面地了解與分析餐廳客戶的樣貌，以便更精準地辨識特定族群的特徵，作為下一步提供服務之用。

另外，他也提到，新創公司所需要的不只是資金而已，而是你能幫助它走上成功之路，而這條路上他們要的是投資企業背後的人脈鏈結，因為這有機會讓新創公司的業務更壯大，當業務能夠互相對接，在Fintech生態系就能產生更大的助力，雙方的合作就更有價值。

而凱基銀行要透過AI技術分析來自異業合作所累積的大數據，他們的數位策略不僅僅只單純買入AI套裝，而是另外成立15人的AI小組，要透過自行PoC（概念驗證）的方式來落地，打造新的業務運作方式。周郭傑表示，AI小組網羅了凱基證券、中國人壽與凱基商銀中，跨資訊、數據分析等單位的成員共同參與，先以小規模概念驗證，再進行商業複製與擴散。他說，若能證明AI建模比人工建模更好，未來就有前例可循，也能去架構AI在中華開發金控未來策略與嘗試的方向。

身為創新部門的主管，周郭傑認為，一個組織需要有三分之一的開放型人才，藉助他們樂觀、開放的態度為團隊產生積極氛圍。這也是為何他在選用人才時，比起經驗，更看中態度和開放思考能力，而且更重要的是願意與人溝通的態度。「經驗固然好，但在某些事情上最好是張白紙，不會害怕既有規矩，能夠打破思考框架，就是凱基要的創新人才。」

「他永遠不會給你問題的答案，只會給你方向，最後你會找出自己的答案。」與周郭傑相識12年，前後共事3年的創新科技金融處協理簡于倢說道。這也正是周郭傑給團隊成員所創造的成長舞臺，他負責掌舵，穩住整個團隊的大方向，才不會讓團隊成員間的創意互相打架、發散，但他放手讓團隊自己動手，親自找出答案，這正是周郭傑手把手培養創新團隊的秘訣。

 CTO小檔案 

周郭傑

凱基銀行創新科技金融處資深副總經理

學歷：中山大學公共事務管理所

經歷：2016年進入中華開發金控任職，擔任資深副總經理，統籌集團數位金融業務策略、大數據資料運用。2017年兼任凱基商業銀行創新科技金融處處長，負責Fintech業務。曾任臺灣行動支付董事、中國信託金控副總經理暨數位金融處處長。

 公司檔案 

凱基商業銀行

● 成立時間：2014年9月15日

● 地址：臺北市松山區南京東路五段125號

● 主要業務：凱基銀行為中華開發金控全資子公司，主要營業範圍涵蓋財富管理、消費金融、企業金融、金融交易和外匯等商業銀行業務。並運用數位金融技術，改善個人信貸、行動支付、中小微型企業及財富管理等金融服務。

● 董事長：魏寶生

● 總經理：張立荃

● 員工數：2,465人

● 網址：www.kgibank.com

● 數位部門名稱：創新科技金融處

● 數位部門直屬主管：周郭傑

● 數位部門人數：約40人

● 數位部門分工：商業分析部、數位創新部、金融科技整合部

 公司大事紀 

● 2017年8月：凱基數位信貸平臺專案啟動

● 2017年11月：首創KGI inside，成為臺灣首個開放API服務的銀行

● 2017年12月：結盟新創iCHEF，透過大數據分析協助餐廳業者分析經營風險

● 2018年4月：凱基與政治大學合作開授金融科技與商業創新課程

「在2017年，全球有九百多個ICO（首次代幣發行），其中有46％是失敗的，」資策會MIC產業分析師陳凱迪表示，但對全球加密貨幣的資產規模相對傳統金融機構而言，還不到0.5％。所以，對於這類加密貨幣而言，除了是新的集資手段外，以及是一種可信任的數位投資機制外，某種程度上，現有的法律規範仍不足，還有法遵調適的空間；其他所衍生的議題還包括詐騙洗錢以及投資人保護等議題。

加密貨幣總類與募資規模持續增加，企業有意導入公鏈

陳凱迪援引CoinMarketCap和Elementus的統計資料指出，全球加密貨幣的總數，從2014年上半年的336種，到2017年上半年871種，貨幣總數增加1.5倍，但到了2017年下半年，貨幣總數暴增1,249種，相較2014年上半年成長2.7倍，相較2017年上半年成長43％，都可以證明，數位加密貨幣的總類還在持續增加之中。

此外，陳凱迪表示，加密貨幣也是另外一種新型態的募資工具，根據CoinMarketCap和Elementus數據也可以觀察到，2014年上半年加密貨幣募資金額達8百萬美元，但到了2017年上半年，募資金額達10.85億美元，成長近135倍之多；但到2017年下半年，加密貨幣募資金額高達63.91億美元，比2014年上半年成長將近800倍；若與2017年上半年相比，也成長將近5倍。

若以整個區塊鏈和加密貨幣系統發行的過程來看，陳凱迪表示，目前企業對於導入區塊鏈的應用，以導入公有鏈比私有鏈或是聯盟鏈更容易。

他指出，區塊鏈剛開始是作為純粹的貨幣系統之用，只有單純的數字，也就是比特幣1.0（Bitcoin 1.0），過去發展將近10年，已經達商用階段，但因為市場規模受限於技術門檻、波動風險、監管態度，以至於市場普及度低、集中度高。

但慢慢的，區塊鏈發展到內容存證之用，陳凱迪表示，主要是作為服務憑證的一環，發展將近5年，主要是以太坊推出的技術，可以保存文字記錄並不可竄改，此時的加密貨幣生態是處於技術相對成熟，但法規仍在萌芽的階段。在2017年迅速崛起，成為個各產業募集資金、行銷推廣的新興手段。他也說，此時的發幣是為了可以用在平臺服務上，程式碼要結合服務系統才行。

區塊鏈後來則發展到具備智能合約的功能，相關的程式碼都不可以竄改，發展近2年，可以作為股債憑證，演變成一種更直接的募資工具。但陳凱迪說，因為受限於各國法規，這種數位貨幣發行也遇到較多的管制，普及率也較低。

電商平臺透過發行區塊鏈代幣，解決複雜金流與供應商管理問題

在很多區塊鏈的應用中，陳凱迪指出，像是有新創業者就透過發行電商區塊鏈代幣，顛覆傳統電商的服務型態。

他進一步解釋，傳統電商面對的產業現況包括：多仰賴銀行與金流整合公司，以支付平臺收付；以及客戶資料掌握在電商平臺業者手中。

但他說，電商業者在面對金流費用名目多、價格貴，以及多方對帳成本高且費時，加上品牌商要求更清楚的客戶輪廓以及行銷自主化的情況下，電商區塊鏈新創公司INS Ecosystem則針對痛處著手，首先，結合區塊鏈打造替代性金流系統，將金流服務做到集中化，也降低金流成本並增加效率，另外，結合區塊鏈分散式資料保存的技術，在取得客戶同意下，電商平臺業者和品牌商可以即時共享客戶資料。

陳凱迪表示，INS Ecosystem提供食品、雜貨、個人健康和居家清潔等用品項目，消費者如果使用INS代幣結帳，則享有4％的折扣，對消費者有利多，會吸引消費者使用INS代幣消費。當INS代幣使用可以普及時，接下來就要解決電商平臺面對的傳統金流問題。

目前電商平臺的支付流程，至少超過10個不同交易結算步驟以及最多15個支付閘道，結算程序長達7天～10天，也造成品牌商金流週轉效率低落，消費者退款緩慢等問題。不過，陳凱迪指出，當使用區塊鏈技術打造的INS代幣後，不僅可以減少交易費，品牌商與消費者之間的金流關卡，更縮短到5道流程以內，並且透過智能合約方式，更簡易的處理帳務資訊，提升金流處理的正確性。

消費者與INS電商平臺建立關係，用法幣購買INS代幣，消費者將代幣存入INS個人帳戶；透過智能合約的方式，將INS個人帳戶費用，存入INS品牌商商用帳戶；而INS品牌商商用帳戶可以提取資金後，法幣存入銀行中，INS代幣則透過區塊鏈記錄在相關帳戶中。陳凱迪表示，這中間的交易過程的資訊流，都會被交易雙方和INS平臺保留，而金流款項就可以直接存入品牌商帳戶。

電商平臺透過發行區塊鏈代幣解決金流交易的問題後，也進一步用區塊鏈解決供應鏈管理問題。他表示，傳統供應鏈各方資訊不容易互通，加上交易流程繁瑣、處理時間過長等問題，以及遇到消費糾紛時，也會因為轉介時間過長，導致消費者滿意度及消費意願下降；再者，以往電商的集中化平臺會儲存大量消費者資訊，品牌商難以掌握消費者資訊外，也隱含當系統故障時，容易導致許多交易爭議的風險。

因此，INS電商平臺與品牌商透過區塊鏈技術，以共同營運節點的方式來分享客戶資料系統，有助於品牌商掌握顧客資訊，進行規畫定價策略與行銷方案。在這個INS平臺模式下，所有的資訊可以即時安全共享外，也可以減少資訊流通時間，進而提升效率。

區塊鏈公有鏈應用早於私有鏈，金融保險是應用先驅

陳凱迪表示，區塊鏈在企業市場應用不成熟，主要的原因在於：缺乏技術、缺乏監管、缺乏國際共識等共通標準，以及區塊鏈應用與聯盟規模化仍具有很高風險，加上因為認知程度、人才招募以及組織結構等組織準備不易等因素，都成為企業在區塊鏈私有鏈應用與普及推廣上面臨的共通難題。

因此，他認為，目前區塊鏈企業應用發展，專注在特定垂直領域，擴展的程度有限，普及需要5年～10年的時間，但現在已經有一些先進使用者，逐漸開始從PoC（概念驗證）階段，進一步推展到Pilot（先導應用）階段。

若以各個垂直領域來看，陳凱迪說，金融保險領域的區塊鏈技術應用是屬於領先的產業應用；崛起中的垂直領域則包括：電信服務、物流運輸和公共事業；萌芽中的垂直領域應用則有製造工業、零售批發以及醫療服務等產業。

他指出，若將區塊鏈應用分成鏈市、幣圈和礦場等三類，鏈市目前以公有鏈代幣強勢崛起，代幣成為當前產業區塊鏈的應用新寵，具有市場紅利且便於財務操作與行銷推廣；但私有鏈的商用市場，因為缺乏監管標準化、規模化以及企業組織結構變革等政治性因素，整體發展仍是漫漫長路。

至於幣圈的發展，他說：「幣圈一日、人間一年」可以證明幣圈發展迅速，但卻也產生種種亂象，包括詐騙、權責不等的募資與交易活動，已經觸及監管機關的底線，加上全新的經濟生態監管需要時間調適，需要有良好的市場監理機制後，才可以吸引傳統資金加入幣圈；另外，2017年市場榮景引發業者爭先恐後加入加密貨幣交易市場，形成另類的市場新紅海。

而挖礦市場也因為區塊鏈共識機制逐漸成熟，以往高耗能的挖礦機制將會逐漸淘汰，業者布局則會考量監管，傳統資金入市進程（與幣價相關），以及「新主流共識機制比例」，作為投入相關市場的參考。