半導體業是一個發展40多年已經相當成熟、競爭激烈的紅海，尤其臺灣更是晶圓代工的重鎮，大廠各據山頭，一個成立不到2年的半導體新秀，資本額只有12億元，連龍頭廠的二百分之一都不到，如何殺出重圍，站穩腳跟，速度是決勝關鍵，因為公司每分每秒都在燒錢，如何在最短時間將製造系統上線，讓產線能夠順利啟用試產，這是瑞峰半導體IT的責任。

縮短製造系統導入時間，是加快產線啟用試產的關鍵

2016年4月成立的瑞峰半導體，是一家晶圓級封裝服務的半導體高科技新創，專門提供晶圓封裝腳位線路的重布線（RDL），將上游晶圓代工廠提供的一片片晶圓，經過塗布、曝光、顯影等製程加工程序，讓這些晶片可以根據客戶的要求重新客製，能被廣泛運用在手機、TV、車用、家電等終端產品上。

瑞峰成立才隔沒多久，就獲得臺廠重砸上億元投資入股，有了充裕的資金作後盾，如何讓產線能夠盡快啟用試產，成為公司的當務之急。然而，原本隔年1月就要試產，但直到2016年底，這家公司的MES系統都仍未上線，甚至連ERP都沒有，直到瑞峰半導體資訊管理部處長陳如經上任後，才一身扛起了這個重責大任，從無到有加速完成IT建置，以確保能如期讓產線順利啟用。

陳如經是一位在半導體業IT任職將近30年的沙場老將，先後待過世界先進、台積電等知名半導體廠，負責管過資料庫、更跨足MIS到MES等製造相關系統的開發和維運，從前段的IC設計、晶圓生產製造，到後段的封裝測試他幾乎都待過，IT實戰經驗可說是相當豐富。

一般來說，半導體廠建廠時程至少要花費6到9個月。但是陳如經接下資訊主管一職時，瑞峰已經成立8個月了，但公司仍只有籌備處，廠房也在興建中，相關的硬體設備那時才陸續進駐，隔年1月，產線就要啟用試產，因此，只剩不到30天，製造系統就得要推出上線，對陳如經來說，時間相當緊迫。工廠產線啟用已經迫在眉梢，但他更得面臨公司大大小小系統都要資訊部門來建置，對他來說，更是一大沉重的負擔。

在IT系統規畫上，遵循「先求有再求好」策略

他回憶剛進這家公司時，「不僅資訊系統都還沒有，連公司E-Mail信箱都還只有先申請到網域名稱」他說，因為是新公司，一切系統都要從無到有自行建置，但是當時IT部門只有3個人，資訊人力嚴重不足，使得他必須要找出新方法，在最短的時間，來逐一解決這些難題，並且能夠讓產線盡快啟用投入生產，這也成為他上任後首要面對的IT大考驗。

首先，在IT系統規畫上，陳如經遵循「先求有再求好」的策略，先讓系統能夠上線，先滿足使用者基本的運作需求，再逐步完善各項功能。他表示，這樣做的好處，一來有更長時間分散工作量，降低對IT人力的需求，二來初期系統程式不需要經過大幅修改，客製少風險就低，將有助於提高系統的穩定性。

其次，在IT系統建置上，他則依系統上線的輕重緩急，來逐步完成系統的建置。第一步就是先讓核心MES製造執行系統先上線。因為有了MES系統之後，工廠產線才可以順利啟用試產， 甚至陳如經形容：「MES系統等同於製造業的命脈，甚至比ERP系統都還重要。」

正因為MES系統攸關製造業的命脈，導入過程必須步步為營，更要小心謹慎才行，尤其半導體高科技業更是如此，對於製造相關系統有著更高標準的要求。一般而言，從MES導入到正式上線至少需3個月，甚至更久的時間，但是瑞峰卻只剩下30天不到的時間，系統就要上線了。

為了能夠盡可能配合系統上線時程，陳如經採取諸多作法，不僅縮短硬體建置時間，短期內就將整套系統快速部建起來，從硬體進駐，到準備就緒，安裝整套軟體到完成基本系統測試，讓它有基本的運作能力，只花不到兩周就完成；另外也大幅降低前期採購對於客製化的需求，更直接略過廠商Demo測試的步驟，就連要求廠商PoC都沒有，就大膽決定採用，甚至在最後導入過程中，也捨棄一部分項目測試，才讓系統如期上線，讓公司能趕快用它來試產。

瑞峰半導體資訊管理部處長陳如經表示，半導體IT最大任務在於改善產線良率，降低生產成本，替公司創造最大的產能。（攝影／洪政偉）

MES系統不僅兩套互為備援，更要通過HA高可用測試

但陳如經強調，之所以能省略這些步驟，在於原營運團隊成員多半是這方面領域的專家，個個都很有經驗，十分熟諳MES系統，懂得系統所須的製造執行配置與需求，因此，在導入過程中，能夠替他們減少許多不必要測試和除錯的過程，幫助縮短系統上線的時間。

但是即便如此，有些測試還是不能省。陳如經就堅持要求，MES系統上線以前，一定得通過故障轉移（Failover）測試，確保互為備源的兩套MES系統，能夠同時運作，且相互支援，以便在一臺MES系統故障時，還有另一臺可以接手正常運作，以維持系統的高可用性和可靠度。

更大的挑戰是，MES這套系統對系統停機時間的容忍度極低，必須維持機器7X24小時都要能夠正常運作。因為，「製造過程不能中斷」他說，只要系統一出錯，整個產線就會停擺，造成損失慘重。

他估算過，機臺發生當機的代價，假使以一間廠房機臺設備成本為10億元來計算，預估使用年限為五年，只要一臺機臺停機，導致整座工廠產線受牽連，生產延遲的後果，就是每天損失將近60萬元。這還僅僅只是機臺，未包括其他人事成本，以及生產拖延無法如期交貨產生的營業損失。

瑞峰的產線在2017年1月啟用後隨即投入試產，並在5月開始進行小量生產。在將產品提供給客戶驗證後，陳如經更持續擴大MES功能，來提高生產製程的品質，之後更先後整合EAP/RMS/SPC等製造相關系統，讓整個生產過程可以全程自動化，以提高產能，同時也減少人工作業的錯誤。並也逐一改善產線技術人員作業上遇到的問題，例如重新優化UI介面，讓操作更加流暢等。

另在管理方面，陳如經也同步導入ERP系統，秉持先求有再求好的原則，一開始盡量縮減使用者的需求，讓系統先上線再說，例如，初期僅提供會計總帳功能，讓會計人員能用它來完成基本的帳目記錄，其他人事等系統之後才陸續完成。這套ERP系統也在同年10月完成上線。

在IT架構上，陳如經很早就決定導入伺服器虛擬化，來提高硬體使用率與降低管理成本，他表示，目前除了兩臺互為備援的MES系統的資料庫，皆採用實體機器外，其餘系統都改以VM來提供服務，就連ERP系統也都改用VM方式提供原有的管理服務。

ERP上線迄今，資訊部門替它增修不少新功能，像是現在客戶的來料晶片到貨時，ERP系統能自動通知負責的業務與生管人員，讓他們能在第一時間掌握來料的品名與數量等資訊，來與客戶確認，或是將其列入生產排程。同時也將它與MES系統進一步整合，用來簡化使用者在工單下線、完工入庫的處理程序。

在產線方面，瑞峰也透過MES系統整合機臺資訊與客戶的工單系統，打造一套晶圓刻號自動比對系統，能自動比對晶圓刻號與客戶工單紙本上的刻號是否一致，避免拿錯或出錯貨，一旦發現異常會自動通知相關人員，全程皆無須人力介入。陳如經表示，過去以人工比對時，通常一個批號生產25片晶圓，每完成一批貨，人工檢驗就需要15分鐘，若以月產能1萬片來計算，大約一個月會耗費100個小時的人力花在檢驗核對上，現在透過這套系統，將可大幅降低人力需求，也避免人工錯誤，加快整個生產速度。目前這套系統已在今年6月上線。

主打 「少量多樣」的客群，也帶來另一個IT挑戰

雖然瑞峰半導體同屬於接單生產的晶圓代工廠，但不像大廠晶圓代工策略，它反而切入利基市場，轉向小量多樣化接單，這也成為它營運後所遭遇到的另一個IT挑戰。

像是接單量一多時，每個客戶的要求可能都不盡相同。比如十家客戶，每家要求報表格式會不同，出貨標籤也會不一樣。這時IT就必須依每位客戶量身製作一套屬於它完全客製化的需求。對於資訊人員而言，將是一個沉重的包袱。

再者，不像產品訂單量大的大廠接單，機臺生產時只須沿用同一套製程配方，無須更換製程，對於瑞峰來說，因為訴求「少量多樣」的策略，很多都是中小型客戶，生產的產品種類繁多。

為了因應不同產品線，就可能需要常常更換製程，每個機臺所要儲存的製程配方都不一樣，這也使得MES系統需要存取的產品組合變更多，一旦產品種類越多樣時，對於產線人員來說，在檢驗核對時就會容易發生錯誤，「這是在半導體大廠較少遇到的情況」他說。

對此，陳如經的作法是，針對每個重要生產環節加入不同的系統檢驗機制，來幫助使用者進行核對，以減少錯誤的發生。例如工廠每天生產前，系統會自動比對ERP與MES上的客戶料號是否相同， 確保兩者料號都一致等。

不僅如此，陳如經也計畫結合人工智慧，來輔助人工檢驗作判斷，例如，現在以自動光學檢測（AOI）機臺進行檢測掃描時，雖然能找出有瑕疵的晶圓，但要做到瑕疵的分類，仍得仰賴工程師的專業判斷。他期盼未來可改由AI來提供協助，幫助他們解決這個難題。甚至也能用它來提高產線製程品質的穩定度，降低產品良率的差異。「半導體IT最大任務在於改善產線良率，降低生產成本，替公司創造最大的產能。」陳如經這麼說。

他表示，現在已開始蒐集各項生產製造過程的工程資料，以做為將來大數據分析、機器學習訓練使用。另外也規畫導入無人搬運車與機器手臂，整合MES系統，達到產線生產全自動的目標，減少人力的需求。

 CIO小檔案 

陳如經

瑞峰半導體資訊管理部處長

學歷：成功大學電機所計算機組碩士

經歷：在半導體IT累積30年資歷，曾是催生世界先進的工研院「次微米計畫」團隊早期成員，並先後任職於世界先進、台積電，負責資料庫、MIS及MES系統的開發建置與維運，並於2016年12月正式擔任瑞峰半導體資訊管理部處長，肩負起從無到有打造IT的重責大任

 公司檔案 

瑞峰半導體

● 地址：新竹縣湖口鄉新竹工業區光復北路12號

● 網址：www.rayteksemi.com

● 成立時間：2016年

● 主要業務：先進晶圓封裝等半導體製造

● 員工數：約80人

● 資本額：約12億元

● 總經理：戴國瑞

 資訊部門檔案 

● 資訊部門主管職稱：處長

● 資訊部門主管姓名：陳如經

● 資訊部門名稱：資訊管理部

● 資訊部門人數：5人

● 資訊部門分工：系統維運、製造系統、管理系統

● IT預算：約5,500萬元（2016年系統建置費用）

 IT大事記 

● 2017年1月：製造執行系統（MES）正式上線、伺服器導入虛擬化

● 2017年3月：開始著手導入ERP系統

● 2017年5月：完成設備自動化計畫（EAP）系統上線

● 2017年8月：配方管理系統（RMS）上線、統計製程控制系統（SPC）系統推出上線

● 2017年10月：ERP系統正式上線

● 2018年6月：晶圓刻號自動比對系統推出上線

在Java發展的過程中，由於Java的應用領域越來越廣，並逐漸擴及至各級應用軟體的開發，Sun公司在1999年6月美國舊金山的Java One大會上，公佈了新的Java體系架構，該架構根據不同級別的應用開發區分了不同的應用版本：J2SE（Java 2 Platform, Standard Edition）、J2EE（Java 2 Platform, Enterprise Edition）與J2ME（Java 2 Platform, Micro Edition）。

J2SE、J2EE與J2ME是當時的名稱，由於Java SE 6後Java不再帶有"2"這個號碼，J2SE、J2EE與J2ME分別被正名為Java SE、Java EE與Java ME。儘管Sun從2006年底，就將三大平臺正名為Java SE、Java ME與Java EE，但時至今日，J2SE、J2ME與J2EE這個名詞還是很多人用。

Java SE（Java Platform, Standard Edition）

Java各應用平臺的基礎，想要學習其他的平臺應用，必先瞭解Java SE以奠定基礎，Java SE也正是本書主要的介紹對象。

Java SE可以分作四個主要的部份：JVM、JRE、JDK與Java語言。

為了要能運行Java撰寫好的程式，必須有Java虛擬機器（Java Virtual Machine, JVM）。JVM包括在Java執行環境（Java SE Runtime Environment, JRE）中，所以為了要運行Java程式，必須安裝JRE。如果要開發Java程式，必須取得JDK（Java SE Development Kits），JDK包括JRE以及開發過程中需要的一些工具程式，像是javac、java等工具程式。

Java語言只是Java SE的一部份，除了語言之外，Java最重要的就是提供龐大且強大的標準API，提供字串處理、資料輸入輸出、網路套件、使用者視窗介面等功能，你可以使用這些API作為基礎來進行程式開發，無須重複開發功能相同的元件，事實上，在熟悉Java語言之後，更多的時候，都是在學習如何使用Java SE提供的API來組成應用程式。

圖1. Java SE的組成概念圖

Java EE（Java Platform, Enterprise Edition）

Java EE以Java SE為基礎，定義了一系列的服務、API、協定等，適用於開發分散式、多層式（Multi-tier）、以元件為基礎、以Web為基礎的應用程式， 整個Java EE的體系是相當龐大的，比較為人熟悉的技術像是JSP、Servlet、JavaMail、Enterprise JavaBeans（EJB）等，當中每個服務或技術都可以使用專書進行說明，並非本書說明的範圍，但可以肯定的是，必須在Java SE上奠定良好的基礎，再來學習Java EE的開發。

Java ME（Java Platform, Micro Edition）

Java ME是Java平臺版本中最小的一個，目的是作為小型數位設備上開發及部署應用程式的平臺，像是消費性電子產品或嵌入式系統等，最為人熟悉的設備如手機、PDA、股票機等，你可以使用Java ME來開發出這些設備上的應用程式，如 Java遊戲、股票相關程式、記事程式、月曆程式等。

JCP與JSR

Java不僅是程式語言，而是標準規範！有標準的好處是什麼？現在許多電腦週邊設備，都採用USB作為傳輸介面，這讓電腦中不用再接上一些轉接器，跟過去電腦主機後面一堆不同規格的傳輸介面相比，實在方便了不少，許多手機的充電器，也都採用USB介面了， 這真是件好事。

回頭來談談Java是標準規範這件事。你知道嗎？編譯/執行Java的JDK/JRE，並不只有Oracle才能實現，IBM也可以撰寫自己的JDK/JRE，其他廠商或組織也可以撰寫自己的JDK/JRE，你寫的Java程式，可以執行在這些不同廠商或組織寫出來的JRE上。以第2章將學到的第一個Java程式為例，其中會有這麼一段程式碼：

System.out.println("Hello, World");

這行程式目的是：「請系統（System）的輸出裝置（out）顯示一行（println） "Hello, World"」。誰決定使用System、out、println這些名稱的？為什麼不是Platform、Output、ShowLine這些名稱？如果Oracle使用System、out、println這些名稱，而IBM使用了Platform、Output、ShowLine這些名稱，用Oracle的JDK寫的程式，就不能執行在IBM的JRE上，那Java最基本的特性之一「跨平臺」，就根本無法實現了！

Java最初由Sun創造，為了讓對Java興趣的廠商、組織、開發者與使用者參與定義Java未來的功能與特性，Sun公司於1998年組成了JCP（Java Community Process），這是一個開放性國際組織，目的是讓Java演進由Sun 非正式地主導，成為全世界數以百計代表成員公開監督的過程。

任何想要提議加入Java的功能或特性，必須以JSR（Java Specification Requests）正式文件的方式提交，JSR必須經過JCP執行委員會（Executive Committee）投票通過，方可成為最終標準文件，有興趣的廠商或組織可以根據 JSR 實現產品。

若JSR成為最終文件後，必須根據JSR實作出免費且開放原始碼的參考實現，稱為RI（ Reference Implementation），並提供TCK（Technology Compatibility Kit）作為技術相容測試工具箱，方便其他想根據JSR實現產品的廠商或組織參考與測試相容性。

現在無論是Java SE、Java EE或 Java ME，都是業界共同訂製的標準，每個標準背後代表了業界面臨的一些問題，他們期待使用Java來解決問題，認為應該有某些元件、特性、應用程式介面等，來解決這些問題，因而製訂JSR作為正式標準規範文件，不同的技術解決方案標準規範會給予一個編號。

在JSR規範的標準之下，各廠商可以各自實作成品，所以同一份JSR，可以有不同廠商的實作產品，以Java SE為例，對於身為開發人員，或使用Java開發產品的公司而言，只要使用相容於標準的JDK/JRE 開發產品，就可以執行於相容於標準的JRE上，而不用擔心跨平臺的問題。

Java SE 9的主要規範是在JSR 379文件之中，而Java SE 9中的特定技術， 會再規範於特定的JSR文件之中，若對這些文件有興趣，可以參考JSR379：jcp.org/en/jsr/detail?id=379

JSR對於Java初學者而言過於艱澀，但JSR文件規範了相關技術應用的功能，將來有能力時，可以試著自行閱讀JSR，這有助於瞭解相關技術規範的更多細節。

圖2. JCP、JSR、RI與TCK

建議的學習路徑

Java不僅是程式語言，而是標準規範，每個標準代表著廠商面臨的問題，代表著解決問題的方案，也因此，學習Java，就等於在面臨各式問題如何解決， 然而，這麼多的問題，沿生出如此多的解決方案，也因此對於初學Java的人， 如同面臨滿載產品的龐大貨輪，不知從何開始，也不知將來何去何從。

在Java的官方網站提供有一份Java技術觀念地圖（Java Technology Concept Map）的文件（www.oracle.com/technetwork/topics/newtojava/intro-142494.html）

在這份文件中，密密麻麻地列出了大部份Java相關地圖與簡要說明，也代表了Java技術範疇的廣泛，然而要從這麼龐大的地圖中，找出一條適合初學Java 的路線圖絕非易事，以下是我基於經驗與教學建議的學習路徑：

深入瞭解JVM/JRE/JDK

許多書籍對於JVM/JRE/JDK的說明，通常以極短的篇幅介紹，通常就是在短短幾頁中，請使用者依書中步驟安裝與設定PATH、CLASSPATH後，就開始介紹Java程式語言，而許多人到了業界後就開始使用IDE（Integrated Development Environment）代勞所有JDK細節，這麼作的結果就是，在IDE中遇到與JDK相關的問題，就完全不知道如何解決。

JVM/JRE/JDK 並不是用短短幾頁就可以說明，若沒有「JVM是Java程式唯一認識的作業系統，其可執行檔為.class檔案」的重要觀念，就無法理解PATH與CLASSPATH並非同一層級的環境變數，JDK中許多指令與選項，其實都可以對應至IDE中某個設定與操作，你對JVM/JRE/JDK有足夠的認識，對IDE中相關選項就不會有疑問，也不會換個IDE就不知所適，或沒有IDE就無法撰寫程式。

理解封裝、繼承、多型

對於Java程式語言，if...else、for、while、switch等流程語法，早已是必須熟練的基礎，更重要的是，Java支援物件導向（Object Oriented），你必須理解物件導向中最重要的封裝（Encapsulation）、繼承（Inheritance）、多型（Polymorphism）觀念，以及如何用Java相關語法來實現。

許多人撰寫Java程式，並沒有善用其支援物件導向的特性，問到何謂封裝而無法回答（甚至回答定義類別即為封裝），濫用Java繼承語法，不懂多型而不知如何運用API文件（更別說運用多型設計程式了），最後的結果就是淪於死背API文件、使用「複製、貼上」大法來撰寫程式，整個應用程式架構雜亂無章而難以維護。

掌握常用 Java SE API 架構

Java並非只是程式語言，還帶有龐大的各式程式庫（Library），對初學者而言，首要是掌握常用的Java SE API，像是例外（Exception）、群集（Collection）、輸入輸出、執行緒（Thread）等，學習這些標準API，絕不要淪於死背，應先掌握API在設計時的封裝、繼承、多型架構，以Collection為例，在學習時必須先理解，為何要設計為圖3的架構。

圖3. Collection API架構範例

學習容器觀念

在步入Java EE領域之後，經常接觸到容器（Container）的觀念，許多人完全以API層次來使用Java EE相關元件，這是不對的。容器就實作層面來說，就是執行於JVM上的Java應用程式，抽象層面來說，就是你的應用程式溝通、協調相關資源的系統。

初次接觸容器的開發人員會覺得容器很抽象，以實際的例子來說，通常初學者步入Java EE，會從學習Servlet/JSP開始，而Servlet/JSP是執行於Web容器之中，這是學習容器觀念時不錯的開始，你必須知道「Web容器是Servlet/JSP唯一認得的HTTP伺服器，是使用Java撰寫的應用程式，運行於JVM之上」，如果希望用Servlet/JSP撰寫的Web應用程式可以正常運作，就必須知道Servlet/JSP如何與Web容器作溝通，Web容器如何管理Servlet/JSP的各種物件等問題。

容器的觀念無所不在，Applet會執行於Applet容器中，因此相關資源受到Applet容器的管理與限制，Servlet/JSP執行於Web容器之中，EJB執行於EJB容器之中，Java應用程式客戶端執行於應用程式客戶端容器之中，不理解元件如何與容器互動，就無法真正善用或理解元件的行為。

“容器就實作層面來說，就是執行於JVM上的Java應用程式，抽象層面來說，就是你的應用程式溝通、協調相關資源的系統。”

研究開放原始碼專案

Java不僅是程式語言，也是個標準，在共同標準下有不同的實作方式，在Java 領域的許多實作，都是以開放原始碼的方式存在，只要你有興趣，可以下載原始碼了解實作方式，從中瞭解甚至吸收他人設計、實現產品的技巧或理念。

許多基於Java各標準平臺發展出來的產品也值得研究，例如測試框架（Framework）、Web框架、永續（Persistance）框架、物件管理容器等，這些產品補足標準未涵蓋之處，各有其設計上優秀與精良之處，有些更進而回饋至 Java 而成為標準之一，重點是它們也多以開放原始碼的方式存在，讓開發人員可以使用、研究甚至參與改進。

學習設計模式與重構

在程式設計上，「經驗」是最重要的，在經驗傳承上，歸納而言，無非就是「如何根據需求作出好的設計」、「如何因應需求變化調整現有程式架構」， 對於前者，流傳下來的設計經驗就是設計模式（Design pattern），對於後者，流傳下來的調整手法就是重構（Refactor）。

「如果我當初就這麼設計，現在就不會發生這個問題了！」這種對話應該很熟悉，「當初就這麼設計」就是所謂設計模式。「如果我當初先這麼改，再那麼改，就不會把程式改到爛了！」這種對話也經常聽到，「當初先這麼改，再那麼改」就是所謂重構。

無論是好的設計或不好的設計，都要有經驗傳承。經驗可以口耳相傳，可以從原始碼中觀摩，也可以從書籍或網路上優秀的技術文件中習得，對於初學者，從優秀的技術文件學習設計模式與重構，是快速累積經驗的捷徑。

熟悉相關開發工具

除了累積足夠的實力與基礎，善用工具是必要的，開發工具可以避免繁瑣的指令、減少重複性的操作、提示可用的API、自動產生程式碼、降低錯誤的發生，甚至執行各種自動化的測試、報告產生與發送郵件等任務。有些開發人員鄙視開發工具，這是不必要的，兩個實力相同的開發人員撰寫相同的應用程式，使用良好開發工具的人必然有較好的效率。

在Java領域難能可貴的，是存在不少優秀的開發工具，而且多以開放架構、開放原始碼的方式存在，如Eclipse IDE、NetBeans IDE、IntelliJ IDEA都是相當不錯的選擇，還可以搭配Ant建構工具、Maven或Gradle專案工具等一同使用，大大地提昇開發人員的產能。

建議初學Java的人，可以挑選一種開發工具來熟悉，所謂熟悉，不是指「下一步要按哪個按鈕、接下來要執行哪個選單」，而是指這些開發工具相關操作， 是為了代勞你手動執行哪些指令，開發工具中的某些選項，是為了代勞你設定哪些變數，錯誤提示原本是來自JDK的什麼訊息等，以這樣的過程來熟悉開發工具，才能善用開發工具提昇產能，而不是受制於開發工具，如此就算換了另一套開發工具，也可以在最短時間內上手。（摘錄整理自《Java SE 9 技術手冊》）

 書籍簡介 

Java SE 9 技術手冊

林信良／著

碁峰出版

售價：650元

 作者簡介 

林信良

目前為自由工作者，專長為技術寫作、翻譯與教育訓練。喜好研究程式語言、框架、社群，從中學習設計、典範及文化。閒暇之餘記錄所學，技術文件涵蓋C/C++、Java、Ruby/Rails、Python、JavaScript、Haskell、OpenSCAD等領域，個人網站openhome.cc。

近年來，次世代防火牆產品的發展趨勢，對於單一設備的管理，朝向更加容易執行的做法，只要透過電腦上的網頁瀏覽器，網管人員就能連線到防火牆設備，並快速調整防火牆的設定。然而，仍有廠商維持透過專屬管理平臺的做法，著重集中控管多臺防火牆、高可用性，以及自動政策部署等能力，例如Forcepoint NGFW產品線，就主打上述的特性。

雖然，原廠主打的賣點中，極為強調透過SMC的集中管理後，所帶來控管上優點，不過，對於進階威脅防護上，這系列防火牆產品也具備相當水準的保護能力，主打進階規避偵測行為技術（Advanced Evasion Techniques，AET）。

其中，這次我們測試的型號，為1U機架尺寸的NGFW 2101，在Forcepoint次世代防火牆設備中，定位為可應用於邊際網路區域的高階產品，在企業也常運用於總公司的流量過濾。在NFGW 2100系列之上，Forcepoint還推出了更高階的3300與6200系列設備，分別適用於園區網路和資料中心。

這款NGFW 2101，在次世代防火牆的效能而言，具備了5Gbps的吞吐量，檢查TLS 1.2流量的部分，也有3Gbps，至於IPsec VPN吞吐量則有13Gbps。如果企業想要防火牆能負荷更多的流量，在NGFW 2100系列中，還有較高等級的NGFW 2105可選，能夠處理7.5Gbps次世代防火牆吞吐量。

在網路連接埠的部分，NGFW 2101內建了12個RJ-45介面的GbE埠，以及2個SFP+埠，並配備2個擴充槽，企業可為這臺防火牆加購連接埠模組，最高能配置4個40GbE的QSFP+埠，擴充性算是相當高。

就軟體功能而言，大部分都包含在這款次世代防火牆設備的售價之中，主要的選購模組，包含了URL網址過濾資料庫，以及Advanced Malware Detection（AMD）沙箱等。至於整合的沙箱檢測功能，則擁有內部建置的版本，與雲端服務可選。

提供功能極為豐富的儀表板

針對Forcepoint次世代防火牆的管理，主要是透過SMC主控臺的應用程式來操作，其中對於設備的執行狀態，其儀表板提供了多種圖表樣式，管理者只要拖曳上方可用的圖表，就能新增到儀表板上。在我們取得的NGFW 2101設備中，網路連接埠集中在前方面板的右半部。左半部為2個擴充槽，企業可選用多種介面的模組安裝，例如，40GbE的光纖QSFP+埠，或是支援長距離傳輸的SFP+等。

採用階層式政策，能分門別類管理各種型態的流量

從管制防火牆的政策而言，SMC主控臺提供了子母政策的做法，對於需要遵守總公司規範的分公司，便能在總公司的政策下，設定自己的防火牆子政策，如此一來，分公司同時符合了總部的要求，並在不衝突的情況下，保有額外配置的彈性。

不只是在多個政策之間，能夠擁有高低位階的關連，Forcepoint NGFW政策本身的內容，也具備區分為多層設定群組的機制。

以我們的測試環境來說，防火牆的政策內容，畫分為適用所有的流量全域規則5.1和5.2項，針對流量送出（Outbound）的部分，規畫了子項目5.4至5.10，而對於傳入（Inbound）的流量，則設置了5.12至5.15。

在這種配置政策的做法下，我們便能在一組政策中，納入防火牆多種流量來源的偵測行為。此外，針對不同的使用者與群組、網路區域，以及流出與流出的流量等條件，我們也可以建置多重規則，並加以歸類。

在上述5.4至5.10的規則裡，我們分別針對特定的使用者和部門，設定了管制項目。例如，開放業務部門存取Salesforce網站、檔案共用和社群網站（5.6），而測試區域的流量，則強制執行檔案過濾機制（5.8）等。相較於一般常見的條列式做法，一旦政策的數量日益增加，就會難以掌握，即使提供了關鍵字搜尋的功能，也可能出現漏網之魚，而階層式的機制，則改善了這種不易管理的情形。

與同廠牌防護產品整合，並開始跨足使用者行為分析領域

值得一提的是，Forcepoint自2016年併購McAfee的防火牆產品線後，逐步將自家旗下其他產品線的功能，與這套次世代防火牆產品進行結合。

原廠已經將以往採用的Webroot網址資料庫，更換為同廠牌網頁安全閘道，也就是Forcepoint Web Security提供的內容，並且，整合了雲端存取保護方案Cloud Access Security Broker（CASB），藉此延伸提供超過7,400種的應用程式控管能力。

而對於進階威脅攻擊的偵測，這系列的次世代防火牆也能選配前述的沙箱，針對疑似異常的資料，加以深度盤查。

在防護功能的整合上，他們也朝向以人為核心的方向進行。去年底6.3大改版的NGFW軟體中，開始支援自家的端點偵察代理程式Endpoint Context Agent，可將端點執行的情境，納入防火牆監控的範圍。未來他們也打算整合UEBA和Orchestrator平臺。

支援遠端快速部署，並能透過不同型號設備，提供高可用性

快速架設、管理多個分公司的防火牆，可說是Forcepoint NGFW的重要賣點。基本上，管理者只要事先於SMC平臺中，建立了防火牆將要套用的政策，並匯出到隨身碟裝置後，便能把設備與隨身碟送到需要部署的地方，由當地的員工安裝，使防火牆上線運作，並受到SMC主控臺列管。

在測試環境中，我們先在隨身碟建立了所需的政策設定檔，然後把隨身碟、網路線、電源線與防火牆設備連接後，啟動電源，不到1分鐘的時間，我們就能在SMC管理平臺上，看到這臺防火牆設備已經受到管理。

針對高可用性架構（HA）的應用需求，一般來說，大部分網路設備都要採用2個同型號機種建置，但在Forcepoint NGFW全線產品中，則是提供了能夠混合不同型號的彈性，算是同類型產品中少見的做法。

透過這樣的機制，企業得以暫時使用較小型號的NGFW設備，充當備援。例如，想要因應流量增加而升級較高階的防火牆，卻無法一次購足2臺相同設備的情況下，企業可先添購第1臺防火牆，並使用原有的設備應急，暫且充當備援系統的防火牆。

只是在這樣的組態下，若是切換到備援防火牆運作時，企業還是會面臨設備可能無法負載全部的流量，導致網路速度變慢等現象，因此不能做為常態性的高可用性架構應用方式。

採用階層式的流量管理政策

在Forcepoint NGFW的政策上，採取了階層式的做法，以圖中的辦公室環境政策為例，上層的5.1和5.2屬於適用所有流量的規則，這裡針對流出與流入的流量，分別建立了5.4至5.10條，以及5.12至5.15條的子規則。

 產品資訊 

●建議售價：廠商未提供

●代理商：精誠資訊(02)7720-1888

●次世代防火牆吞吐量：5Gbps

●防火牆吞吐量：60Gbps

●IPSec VPN吞吐量：13Gbps

●網路介面：12個GbE埠與2個SFP+埠

●可擴充介面：RJ-45與SFP介面的GbE埠、10GbE埠，以及QSFP埠

●選購功能：URL網址資料庫、AMD沙箱（本地設備或雲端服務）

柯P的另類團隊創新秘訣

企業想要導入敏捷開發方法，不只是光是採用新方法或新工具就夠，還得讓團隊具備敏捷開發的文化才能真正落實，但想要改變舊有風氣不是一件容易的事。臺北市長柯文哲日前也現身敏捷高峰會，分享他進入市政府後，如何再造臺北市政府組織文化的經驗。（詳全文）

微軟Azure IoT Edge正式版與開源碼出爐

Azure IoT Edge主要是把雲端的分析與客製化商業邏輯移至邊緣裝置，以讓企業能夠更專注於洞察商機而非資料的管理，微軟描述，現在這些裝置將可根據即時資料立即展開行動，不管是從鳥瞰中發現管線破裂，或是預測設備即將故障。藉由開源的Azure IoT Edge，開發人員將更有彈性也更能掌控自己的邊緣解決方案，還可變更執行（Runtime）或除錯問題。（詳全文）

臉書擴大限制第三方App的API存取

在第三方App將用戶資料分享給外部廠商劍橋分析（Cambridge Analytica）後，臉書即誓言緊縮外部App的存取權限。繼四月間第一波限制權限後，臉書7月2日再宣布新一波保護用戶資訊的限制措施。

最新的限制涉及6類API。首先，過去開發人員可直接在Graph API Explorer App測試查詢，但即日起臉書將汰除這個App，未來開發人員必須以自有App的存取憑證，才能在Graph API Explorer上測試。（詳全文）

Dell真的要重新上市了

在7月2日Dell Technologies宣布，將透過股票或現金買下VMware追蹤股票DVMT以重新登上紐約股市，該交易預計於今年第四季完成，而VMware則將維持獨立運作，保有獨立上市公司的身分，Dell依然握有VMware普通股的81％股份。（詳全文）

DeepMind讓AI能憑2D影像描繪出3D場景

近日DeepMind發展出一人工智慧型系統，只要觀察2D影像就能建立其3D場景。DeepMind開發了生成查詢網路（Generative Query Network，GQN）框架，讓AI得以藉由它們在場景中移動時所獲得的資料進行訓練，學習如何感知周遭的環境。（詳全文）

Google晉升Linux基金會白金會員，拿下一席董事

近期Linux基金會宣布，Google已經成為白金會員。過去Google只是Linux基金會的銀級會員，成為白金會員後，Google雲端平臺開源戰略負責人之一Sarah Novotny，也將代表Google加入Linux基金會董事會。（詳全文）

GCP用戶抱怨服務遭無預警關閉，搶救仍丟部分資料

圖片來源_Punch a Server

一位Google雲端平臺的用戶，在部落格表布了以「為什麼你不該使用Google雲端」為題的文章，抱怨他們執行在GCP上用於產品階段的服務，被無預警關閉，該用戶還表示，Google完全沒有給他們解釋機會，就讓他們的服務停止運作了幾個小時，雖然經過搶救取回了部分資料，但還是損失了約一個小時的資料。（詳全文）

Jenkins企業版正式登上Azure Kubernetes

提供企業級CI/CD服務的廠商，近年也開始加強支援各大雲端廠商，從應用程式開發、持續整合，到最後應用程式部署流程都支援。像是開放原始碼平臺GitLab，在今年4月時就開始與Google雲端服務整合，讓應用程式可以部署至Kubernetes環境，而近日釋出的GitLab 11.0版，使用者可以用來管理與監控Kubernetes狀態外，需要除錯與檢查pod的時候，也能直接從GitLab部署儀表板中，瀏覽Kubernetes pod的日誌檔。（詳全文）

日本天皇明年退位將換年號，小心Y2K事件重演

圖片來源_日本宮內廳

明年日本明仁天皇預計將在4月30日退位，用了30年的「平成年號」也將換新，不過，微軟提醒，這可能引發當時西元2000年千禧蟲(Y2K）的問題。因此微軟也在Windows 10春季釋出的更新中，內建了在2019年5月1日的時代轉換占位符，當日本政府正式公告下一任繼位天皇紀年名稱，就會以更新的方式更換占位符，微軟提到，如因為時代轉換占位符造成應用程式失效，可以暫時先將該值從註冊表中移除。（詳全文）

VMware容器PaaS平臺PKS 1.1釋出，支援K8s

近日，VMware與Pivotal一同宣布PKS 1.1版正式上線，可支援到Kubernetes 1.10版，包括支援標準化儲存的Container儲存介面（CSI），讓儲存供應商可開發自家解決方案。VMware表示，這個容器服務解決方案，要讓企業能在多雲環境加速導入Kubernetes，簡化該工具的維運、管理任務。此外，該解決方案也是經認證合格Kubernetes服務，可以相容Google容器引擎。（詳全文）

Nvidia在GPU雲端服務新增9種超級運算容器

自去年11月到現在，Nvidia在自家GPU雲端服務（NGC）新增了9種容器服務，包括CHROMA、CANDLE、PGI等，使用者現在可以使用總共35種的高效能運算容器服務，比Nvidia剛推出該服務時的數量多了2倍。（詳全文）

張善政：不用敏捷管理，AI應用難成功

前行政院院長也是東吳大學巨量資料管理學院榮譽院長張善政，日前在臺灣第一屆敏捷高峰會中表示，導入敏捷管理最重要的目的就是：為了要讓業務部門與技術部門有更好的互動，隨著人工智慧（AI）興起以及開放源碼時代的來臨，一套好的敏捷管理方法論，將成為業務與技術部門如何共事與協同作業可以參考的模式。（詳全文）

AWS在臺公開說明GDPR議題

歐盟GDPR這套號稱最嚴格的個人資料保護法，已經正式實施一個月，各雲端大型業者為了幫助用戶能對應此一法規遵循，也早已採取行動，像是去年3月26日，雲端服務廠商AWS（Amazon Web Services）就在官網宣布，旗下所有服務皆符合GDPR，他們並在去年12月底，發布了GDPR中心網頁與白皮書。對於臺灣企業用戶而言，要理解這些白皮書的內容，可能需花費許多時間。不過，近日（6月28、29日）於臺北國際會議中心舉行的AWS高峰會，也包含AWS服務與GDPR的介紹，具體說明相關事項，以及在AWS服務中有那些工具，能幫助企業用於GDPR法遵。（詳全文）

如果要判斷一個人是不是有錢人，看看他用的是不是iPhone。芝加哥大學一項研究指出，至少在美國，擁有iPhone或iPad是判斷一個人的經濟能力最明顯的指標。

芝加哥大學經濟學家Marianne Bertrand和Emir Kamenica和美國國家經濟研究局最近公佈一份探討消費者與媒體消費行為反映社經狀況的研究做出了上述結論。這項研究是根據另一家研究機構針對6,394名消費者進行問卷調查及面對面訪談獲得的資料，利用機器學習演算法依據家庭收入、種族、性別等變項分析而得。

這並不意謂著擁有iPhone的人一定很有錢，只是機會比較大。根據分析資料研究人員發現，擁有iPhone的人，推斷他屬於高收入族群有69%的機率是正確的，即收入在家庭類型—如單身年輕成人，或是擁有成年子女的夫婦—中屬於前1/4的族群。有趣的是，本研究也顯示，Android手機或使用Verizon的門號也可以顯示消費者的高收入狀況。只是總結來說，研究人員指出，多年資料顯示，若看品牌反映個人高收入與否的能力，沒有其他品牌比得上iPhone。

但研究人員同時也指出這項研究的限制。例如雖然iPhone X上看1,000美元，但多數iPhone用戶拿的是前一代或更早以前的機種，受訪者中，持iPhone 6 S的比例最高，但也有人拿iPhone 4。

蘋果的技術可讓產品仍保有一定使用效能。例如去年許多消費者才知道，蘋果iOS可讓舊款手機降速來延長電池續航力。以現有iOS 11及iOS 12支援機種可以追溯到2013年推出的iPhone 5S。

趨勢科技研究人員發現一隻巨集病毒會感染、並綁架受害電腦的特定桌面捷徑，用以下載後門程式。

趨勢科技研究人員是在一封包含圖片檔的俄文文件發現這隻巨集惡意程式。它先要求使用者執行巨集以開啟整份文件，等用戶照做後，就會尋找知名app的桌面捷徑檔或快速啟動功能，包括Skype、Google Chrome、Mozilla Firefox、Opera及微軟IE等加以感染並取代指向的連結。

攻擊手法：（來源：趨勢科技）

當下次用戶點擊這些捷徑時就會執行惡意程式，悄悄下載後門程式到電腦上。有趣的是，研究人員Loseway Lu發現惡意程式執行後，惡意檔案就會自動移除，使那些遭感染的捷徑恢復正常，降低使用者警覺性。

同時間，這隻後門程式開始啟動多階段下載過程，先利用Windows 工具如WinRAR從Google Drive或GitHub載入惡意檔案、啟動資料竊取，最後利用遠端桌面程式Ammyy Admin及SMTP（Simple Mail Transfer Protocol）協定將從用戶電腦資訊如路由器IP位址傳送出去。

這個「攻擊」行為目前還只是資料竊取而已，樣本數也不多，研究人員相信攻擊者還在發展階段，因而判斷之後還會有新版本釋出。

在失聯10天的泰國少年足球隊於上周一（7/2）被英國潛水員在「睡美人洞」洞穴中找到之後，各界開始尋思救援之道，其中，創立多家科技企業的Elon Musk則在上周四（7/5）宣布要派遣SpaceX與Boring Co.的工程師前往泰國協助，並設計出一個可自洞穴中救出隊員的小潛水艇。

SpaceX為航太製造商，專門設計火箭與飛船，Boring則是基礎設施與隧道建設公司，該團隊已經在周六（7/7）建置好打算要運輸至泰國的小型潛水艇，它利用獵鷹火箭（Falcon）的液體氧氣輸送管作為船體，直徑只有31公分，因此能穿越洞穴中的狹小空間，但也只能容納身型較為嬌小的足球員。

這12名少年足球隊成員是在6月23日在教練的帶領下進入「睡美人洞」探險，之後便失聯，足球隊員的年紀介於11到16歲之間，教練則是25歲。

根據Musk團隊的規畫，潛水員將可帶著此一小型潛水艇進入「睡美人洞」，足球少年只要躺進潛水艇，不必做任何的事情，就能由潛水員協助救出。

不過，有一名專業洞穴潛水員質疑該小型潛水艇的功用，他認為要帶著它必須非常謹慎，潛水員一不小心就會受傷，或是因為太費力而讓氧氣瓶提早用罄。

Musk團隊花了8小時完成了小潛水艇的製造，還在洛杉磯的泳池中完成了測試（下），但本周日（7/8）泰國已展開救援行動，順利救出了其中4名隊員，原本也要參與救援的Musk團隊因航班的關係而未能抵達。不過，Musk表示，他們將繼續測試此一洞穴救援設計，以備將來的不時之需。

Simulating maneuvering through a narrow passage pic.twitter.com/2z01Ut3vxJ

— Elon Musk (@elonmusk) 2018年7月9日

三星（Samsung）上周四（7/5）宣布與Arm合作，共同製造Cortex-A76處理器，以三星的7LPP（7nm Low Power Plus）工藝和5LPE（5nm Low Power Early）工藝為基礎，結合Arm Artisan實體IP平臺（Artisan physical IP platform），將能夠提升Cortex-A76處理器的基本時脈超過3GHz。

Arm於5月底時才揭露了Cortex-A76處理器，現在又宣布與三星合作製造，採用三星的7LPP工藝和5LPE工藝，並結合Arm Artisan實體IP平臺，包含了HD邏輯架構、記憶體編譯器以及1.8V和3.3V的GPIO函式庫。另外，Arm也將提供Artisan POP IP核心強化加速技術。

此外，相較於Cortex-A75處理器，Cortex-A76的處理效能提升了35％，電池效能也提升了40％，且Cortex-A76基本時脈為3GHz以上，幾乎可匹敵英特爾基本時脈為4GHz的Core i7處理器，這表示Cortex-A76不僅可以用於智慧型手機，也能用在筆記型電腦。

（圖片來源／Arm）

根據三星官網，7LPP工藝將在今年下半年做好生產準備，而第一款超紫外線（Extreme Ultraviolet， EUV）蝕刻技術仍在開發中，預計在2019年上半年完成。

人工智慧越來越會玩遊戲了，除了Dota2全人工智慧代理人（Agent）OpenAI Five團隊已經可以打敗人類外，OpenAI的最新研究，人工智慧代理人只要看過人類示範遊玩蒙特祖馬的復仇（Montezuma’s Revenge）一次，便能學習遊玩技巧並獲得74,500的高分。而與其他研究不同的是，OpenAI不再要求代理人（AI玩家）模仿人類行為，而是更直覺的對取得高分的行為做最佳化。

OpenAI使用了簡單的演算法，只要從人類遊戲示範中挑選一段適當的狀態（階段），這個狀態指的是某一段遊戲示範的歷程，代理人再接著狀態後繼續遊玩，並在示範過程使用近端政策最佳化（Proximal Policy Optimization，PPO）的增強學習，如此就能達到與人類相當的遊玩程度。

OpenAI提到，要解決使用增強學習的問題，有兩個重點，第一是屬於探索問題，為了找出一系列趨向正面獎勵的行動，第二則是學習問題，代理人要可以記得行動序列，並在些微不同的情況下稍微改變策略。

而探索是一件困難的事，一般常用的策略是，藉由採取隨機行動以政策梯度（Policy Gradients）或是Q-learning這類無模型的增強學習方法進行探索。最佳的情況為，剛好隨機選擇到了有益的行動而獲得獎勵，那這些行動便會被增強，代理人未來將有更大的機率選擇這些有益的行動。當隨機行動的獎勵足夠頻繁，隨機行動便更容易以合理的機率獲得獎勵。但OpenAI指出，像蒙特祖馬的復仇這類複雜的遊戲，需要比較長序列的具體行動才能獲得獎勵時，要隨機到特定序列的行動組合簡直不可能發生。

儘管無模型增強學習適合短序列行動，難以應付長序列的行動，OpenAI表示，他們的策略則是將大任務拆成許多子任務，這些子任務就可以用短序列行動解決。OpenAI都以人類的示範，開始每一個增強學習的章節（Episode）。

在訓練初期，代理人在示範結束時，開始每一增強學習訓練章節，一旦代理人能在至少20％剩餘遊戲部分中，擊敗或是與示範者的得分平手，便開始把代理人遊戲的起始點往前移動，這個過程不停重複，直到代理人不再需要使用示範，而這也表示這個代理人已經能夠打敗人類，最糟的狀況也只會跟人類打成平手。

透過漸漸的把代理人遊戲起始點往前移的過程，代理人已經能夠解決大部分剩餘的遊戲，便能確保其遇到的都是簡單的探索問題，OpenAI提到，他們將增強學習的問題解釋為動態程式設計的一種形式，也就是當要從由N個行動組合而成的特定序列獲得獎勵，則這個序列能以線性而非指數時間被學習。研究人員指出，代理人有人類示範，對於成果好壞至關重要。

由於Google旗下DeepMind，最近也展示了人工智慧遊玩蒙特祖馬的復仇這款遊戲的成果，OpenAI表示，DeepMind是以模仿學習（Imitation Learning）來學習遊戲，這個方法的優點是，他們不需要對執行環境進行控制，不需要特別設置遊戲的狀態（階段），而且不會假設代理人會遭遇到人類示範中的所有遊戲狀態，但缺點就在於，這方法讓代理人去學習人類的行為，而這也只會讓代理人的遊戲技巧頂多跟人類一樣。

OpenAI的方法直接對遊戲的目標，也就是分數做最佳化，而非僅要代理人模仿人類行為，OpenAI強調，他們的方法不會過度適應潛在的次優示範，並可以在多玩家遊戲中仍然獲得優勢。該方法所使用的PPO與OpenAI Five相同。這個研究的價值在於，允許代理人偏離示範行為，因此有機會考慮人類示範者沒有想過的解決方案。

為解決網頁應用程式的效能低落的原罪，WebAssembly一直被視為救星，那實際使用的狀況如何呢？提供網頁PDF SDK的PSPDFKit為此做了實際測試，發現結果跟預期很不一樣，執行速度依瀏覽器以及作業系統不同而有很大的差異，唯有Firefox無論是在macOS或是Windows，執行WebAssembly速度都遠快於Javascript外，其他差異不大甚至還發生慢上許多的情況。PSPDFKit也將測試網頁釋出，供大家測試。

PSPDFKit在2016年釋出了他們第一個網頁SDK，而這是一個需要依賴伺服器元件來渲染文件的方法，因此當他們了解利用WebAssembly，能讓瀏覽器直接處理完所有渲染工作，不需要後端基礎設施，於是在積極研究下幾個月後，他們釋出基於WebAssembly的PSPDFKit網頁版本，以大幅降低客戶的使用障礙。

PSPDFKit網頁開發人員Philipp Spiess提到，選染PDF是一件復雜的事，除了PDF是一個存在25年的格式外，其中還有許多邊緣情況需要處理，總共需要約50萬行的C++程式碼來完成PDF渲染工作。但要將這些C++程式碼完全移植到JavaScript成本太高，他提到PSPDFKit不可能這麼做，而WebAssembly和asm.js等技術，允許他們在瀏覽器中使用相同的程式碼基底，將C++程式碼轉成WebAssembly程式，由瀏覽器快速渲染高傳真PDF檔案。

由於服務建構在WebAssembly基礎上，他們對於WebAssembly的執行效能非常在意，因此PSPDFKit對此進行了多瀏覽器多平臺的測試。他們想透過這個測試了解渲染情況，來提高網頁版PSPDFKit的執行效能，因此Philipp Spiess強調，這個測試講究應用程式實際執行的情況，測試得到的分數越低越好。

他還提到，用於測試的應用程式不會直接呼叫WebAssembly，反而還要先測試與之通訊的橋接部分，這樣才符合網頁版PSPDFKit 實際執行狀況。此外，這個測試還停用了WebAssembly的串流編譯功能，Philipp Spiess表示，這項功能讓WebAssembly和JavaScript-fallback1難以比較，因為JavaScript無法使用一邊串流同時編譯的最佳化，為了讓測試簡單易於比較，因此暫時停用了這項功能。

PSPDFKit在macOS與Windows兩大作業系統，測試了Chrome、Firefox、Safari和Edge四大熱門瀏覽器。結果顯示Firefox在兩個作業系統執行WebAssembly效能都是最好的，在macOS中，WebAssembly的執行效能分數1902，而JavaScript-fallback1則是6855（分數愈低愈好），而在Windows中則是1300比上4424，效率約快上3.5倍。

Philipp Spiess解釋，Firefox之所以測試結果可以這麼好，是因為採用了分層編譯以及IndexedDB記憶體。同時Firefox也給了PSPDFKit建議，在初始編譯時，瀏覽器基準編譯器（Baseline Compiler）啟動會比較慢，因此應該避免在第一次啟動時，在背景執行太多工作。

Chrome的情況則比較複雜一些，Chrome 67與Chrome 69金絲雀版本表現有些差異，在macOS中，Chrome 67執行WebAssembly分數5408略輸JavaScript-fallback1的4784，而Windows中WebAssembly分數3129則小贏JavaScript-fallback1的3373。

Philipp Spiess認為，Chrome的WebAssembly的執行效能一直以來比現不錯，但其V8引擎放棄為WebAssembly實作IndexedDB記憶體稍微可惜。不過，在他們與Google團隊連後，官方表示他們將在Chrome 69更新基準編譯器，因此Chrome 69加入測試後，無論在macOS或是Windows的WebAssembly執行效能皆獲提升，且於macOS平臺由輸轉贏。

值得注意的是，Safari即便在主場macOS上，WebAssembly的測試分數卻高達8382，執行速度低於JavaScript-fallback1的5802，在PSPDFKit與蘋果合作追蹤問題後，發現Safari存在一個臭蟲嚴重影響WebAssembly的表現，官方表示在修正後速度已經獲得提升，但沒有詳述分數。

另一個在圖表上吸引目光的項目則是微軟力推的Edge，WebAssembly在Windows的執行表現分數破萬11362，遠高於JavaScript-fallback1的7315，即便Edge執行Javascript的速度已是其他競爭對手慢2倍了。

專門評論科技產品與服務的Comparitech今年委託英國赫特福德大學（University of Hertfordshire）進行二手記憶卡的調查，他們自eBay與其它線上市集購買了100張二手的SD與MicroSD記憶卡，發現其中有65張仍然含有前任用戶的個人資料或機密資料。

根據研究，在這100張二手記憶卡中，有36張記憶卡完全沒有處理原本所儲存的資料，有29張已被格式化，但仍然能夠回復記憶卡上的資料，只有25張是利用資料移除工具成功地覆蓋了儲存區域。

這些記憶卡先前絕大多數是被應用在智慧型手機與平板電腦上，也有少部分曾被作為數位相機、衛星導航系統或空拍機的儲存裝置，在65張資料可被存取的記憶卡中，有38%為照片、20%是聲音或影片等內容、10%是個人文件，還有6%是色情內容。

該大學於研究報告中提醒，隨著記憶卡的儲存容量愈來愈大，流落到二手市場的記憶卡所曝光的個人內容也愈來愈多，使用者應多注意自己的隱私問題，例如原本應用在衛星導航系統上的記憶卡可能會曝露使用者住家、辦公室，或是友人的住家位置。

此一調查顯示了縱使坊間有不少免費或付費的移除工具，但不管是原先的記憶卡用戶或是二手市集的賣家都漠視了記憶卡上所存放的資料問題。光是把資料從記憶卡上刪除是不夠的，使用者還應利用Windows或macOS等作業系統的格式化功能覆蓋那些資料被刪除的區域，或是透過移除工具把記憶卡上的資料清乾淨。

烏干達在今年7月1日正式實施新版消費稅，針對造訪OTT服務的民眾每日徵收200先令（約0.01美元）的稅金，許多民眾為了避開此一「社交媒體稅」，改用VPN（虛擬私人網路）連網，不過，烏干達政府很快就宣布，該政府具備了封鎖VPN服務的技術，沒人能夠安然逃稅。

烏干達總統Kaguta Museveni認為使用社交媒體是種奢侈，人們在社交媒體上說謊或聊天，而錢都被外國的電信公司賺走了，對自己國家的貢獻卻非常地微薄。

根據該國的新法令，舉凡使用Facebook、WhatsApp、Twitter、SnapChat、Instagram、Skype或Linkedin或其它提供語音或傳訊服務平台的民眾都應該要繳納OTT（Over The Top）稅。烏干達政府還列出了每日、每周及每月的稅金分別是200先令、1,400先令與6,000先令，也成為全球第一個課徵社交媒體稅的國家。

一年3.65美元的稅金對其它國家的民眾來說或許不多，但烏干達民眾的平均年收入為600美元，每天的生活費平均不到2美元。

為了閃避「社交媒體稅」，烏干達民眾紛紛轉向VPN服務，然而，烏干達通訊委員（UCC）會隔天（7/2）就透過烏干達政府的臉書官方帳號呼籲，民眾若認為使用VPN比支付200先令還要便宜的話是非常不理智的，因為VPN服務使用更多的頻寬，而且政府機關也握有即將封鎖VPN服務的技術，沒人可以逃稅。

當地媒體則報導，UCC已經要求境內的電信業者封鎖VPN服務。

不過，已有一家烏干達的科技公司向憲法法院遞出訴狀，指控烏干達政府在沒有公眾參與的狀況下就通過了此一課稅規定，同時阻礙了言論自由與創新，要求法院撤銷政府的新規定。

美國的網通設備製造商Netgear在今年2月拆分了旗下的連網監視器部門Arlo，Arlo上周向美國證券交易委員會（SEC）申請首次公開發行股票（IPO），打算以Arlo為代號登上紐約股市。

Arlo提供多款連網監視器，在美國的連網監視器市場佔有率高達40%，累積出貨量為750萬台，有190萬名註冊用戶，亦舖貨至全球逾100個國家。

除了硬體的銷售之外，Arlo的營收還來自雲端訂閱服務，截至今年4月1日的當季營收為1億美元，比去年同期成長63%，計入獨立費用之後虧損了536萬美元。

Arlo在市場上的競爭對手包括Amazon、Nest、Belkin、三星與D-Link等。

以超融合架構打響名號的Nutanix，在近期也推出許多新解決方案，因應當今企業採多雲架構的潮流，像是在5月時釋出的多雲管理SaaS工具Nutanix Beam，利用Nutanix企業雲OS（Nutanix Enterprise Clound OS）為基礎，讓使用者可以分析該雲端環境的運作，例如列出各類雲端資源的使用成本，在未來企業考量購買新雲端服務、應用程式時，能做出更清楚決策。

除了跟上外部企業上雲趨勢，推出產品創造利基外，在Nutanix私有雲基礎架構市場布局，該公司也有相對應擴張策略，那就是推出IT環境搬遷工具Xtract，讓使用者可以從公有雲環境，搬遷下來至Nutanix企業雲運作。而在近日，Nutanix的AOS軟體平臺也推出了5.8版，現在使用該公司解決方案的企業用戶，已經可以從用戶入口下載。這一次Nutanix特別強調的是該版本的安全性，除了內建金鑰管理服務外，也開始支援SAML 2.0標準。

Nutanix的AOS軟體平臺，原先為超融合應用環境提供儲存服務，現在更將功能延伸到通用儲存應用，以及雲端管理。從2017年底至今年4月時，Nutanix 連續推出5.5版與5.6版，強化網路資安防禦、遠端災難備援，以及擴充VM管理規模。與AOS 5.6版一同釋出的SDN解決方案Nutanix Flow，以應用程式為中心，利用網路微切分功能，抵抗資安威脅。而該SDN產品也和作業系統Acropolis整合，加強應用程式監控的即時性。

而在5.8版中，Nutanix加強此產品的安全性。在先前版本AOS的軟體定義加密功能，就能支援FIPS（聯邦資訊處理標準）標準，讓企業可以減少對加密型硬碟的依賴。Nutanix表示，使用加密型硬碟，除了成本不斐外，往往也會拖累系統效能。而在AOS 5.8版中，已經內建本地金鑰管理功能，並且搭配軟體資料加密。因此，無論企業用戶選擇使用加密硬碟，抑或利用AOS內建的軟體定義式加密功能，也都可以結合此金鑰管理服務。而對資安需求更高的企業用戶，也能搭配Nutanix生態系合作廠商所提供的金鑰管理功能。

Nutanix表示，企業總共有三種可行部署模式。第一種模式中，搭配加密型硬碟及外部金鑰管理工具。第二種模式，改用普通硬碟，使用Nutanix的軟體資料加密，及外部金鑰管理工具。最後，則是完全選用Nutanix內建的軟體資料加密及金鑰管理服務。而AOS軟體資料加密所能支援的Hypervisor，包含自家AHV、VMware ESXi，以及微軟Hyper-V。

除了內建金鑰管理是一大亮點外，現在該公司的Prism管理平臺，也支援了SAML 2.0標準，作為認證機制。讓使用者可以進行單一簽入（Single Sign On，SSO），或者搭配外部廠商的雙因素認證機制，減輕使用者記憶多組登入密碼的痛苦。
 

Nutanix比較使用軟體加密前後，系統隨機讀寫的效能差異。該公司表示，軟體資料加密讓系統隨機讀取的效能，大約下降6％。而比較有無軟體資料加密下，系統寫入的效能可說平起平坐。圖片來源：Nutanix

無論企業用戶選擇使用加密硬碟，抑或利用AOS內建的軟體定義式加密功能，也都可以結合此金鑰管理服務。Nutanix表示，使企業總共有三種可行部署模式。第一種模式中，搭配加密型硬碟及外部金鑰管理工具。第二種模式，企業則改用普通硬碟，使用Nutanix的軟體資料加密，及外部金鑰管理工具。最後，則是完全選用Nutanix內建的軟體資料加密及金鑰管理服務。圖片來源：Nutanix

在2018年世界足球賽開打之前，趨勢科技、Sophos、ESET等資安廠商，不約而同提醒觀眾，許多以提供賽事影音串流服務的網站，可能暗藏惡意程式，要小心防範，而這樣的警告如今成真。根據最近Symentec指出，以色列出現一款名為Golden Cup的Android手機應用程式，在這個Golden Cup手機App的介紹網頁上，表面上使用者可以瀏覽各隊基本資料、戰績、以及能觀看世界盃的照片等功能，但Symentec卻發現，它會背地裡與C&C中繼站連接，伺機發動攻擊。

這個Golden Cup行動裝置App的Play商店頁面中，表示透過這款App，球迷能夠瀏覽各國隊伍的資料、分組競賽的比數，以及大賽中的照片等功能。但實際上，Symantec指出，這個App會連接到C&C中繼站，一旦接收到指令，就會發動攻擊。

這款App是含有攻擊目的的交友軟體GlanceLove變種，後者是巴勒斯坦組織哈馬斯（Hamas）針對以色列國防軍隊（Israeli Defense Force）士兵發動攻擊之用。但攻擊者似乎因應世足賽，倉促推出變種Golden Cup，目標也擴及到以色列的一般民眾。顯示攻擊者針對時下熱門焦點，改變攻擊標的。

但Symantec指出，他們認為攻擊者急忙做出這個App的原因，包含了App裡內含連往C&C中繼站的實際網路位址，而且伺服器的內容任何人都能存取，其中具有大約8GB被竊取的資料。

不光是Symantec指出上述針對世足賽的手機間諜軟體，Check Point研究團隊部落格中，也發現宣稱可提供賽程與成績資訊的惡意軟體樣本，主旨為World_Cup_2018_Schedule_and_Scoresheet_V1.86_CB-DL-Manager的電子郵件，在觀眾之間轉載。

瑞士證券交易所SIX Swiss Exchange上周五（7/6）宣布，正在打造一個針對數位資產的完整交易、結算與託管架構，可望帶來一個供數位資產發行與交易的安全環境，預計於2019年中上線。

SIX Swiss Exchange將新的數位資產生態系統稱為SIX Digital Exchange（SDE），主要基於分散式帳本技術（Distributed Ledger Technology，DLT）。SIX執行長Jos Dijsselhof指出，這是資本市場基礎設施的一個新時代的開端，金融產業現在需要一個可介接傳統金融服務及數位社群的橋梁，這則是SIX能夠扮演的角色。

根據SIX的規畫，SDE將與既有的證券交易平台採用同樣的規定與管理標準，第一階段將打造一個交易平台，第二階段則是代幣化銀行可承兌的資產，繼之代幣化無法快速轉化成現金的資產，並採用彈性的方式來滿足動態環境的需求。

儘管許多媒體認為SDE將是一個加密貨幣交易平台，但SIX向Coindesk透露，該平台的目的並非是為了加密貨幣的交易，而是打算建立一個市集，讓傳統的投資人可以藉由該平台數位化他們的資產。

SIX證券交易負責人Thomas Zeeb則說，數位領域目前面臨許多關鍵性的挑戰，諸如缺乏可確保安全、穩定、透明與問責的規定，全都可歸因為缺乏信任，因此由一個被監督的架構供應商所提供的完整與安全模式便更形重要。

資安公司Ripstech在7個月前向WordPress資安團隊回報，一個允許外部刪除檔案的程式碼執行漏洞，但WordPress卻音訊全無，即使在5月中推出的4.9.6版本，也不見修補該漏洞，Ripstech於是在6月26日怒公開該漏洞細節，WordPress只好在7月5日緊急釋出了4.9.7安全維護版本，並且強烈建議用戶，凡使用3.7到4.9.6版本的WordPress都應馬上更新。

駭客要使用這個任意程式碼執行漏洞，需要先取得編輯以及刪除媒體的權限，Ripstech提到，只要能獲得操作權限提升就能使用該漏洞，所以駭客可以接手像是作者這類低權限的帳戶，或是透過其他漏洞以及錯誤設定來獲得進一步的檔案編輯權限。這個漏洞的嚴重性在於，駭客能夠移除任何WordPress的安裝檔案，包括允許讓駭客抹除整個WordPress安裝，而當網站沒有適當的備份，將可能造成不可恢復的災難性後果。

駭客能夠利用任意刪除檔案的能力，規避一些安全性措施，進一步在網頁伺服器上執行任意程式碼。Ripstech列出可被刪除的檔案。第一種是.htaccess檔，這類檔案被刪除後，通常不會有任何安全性的後果，但是在某些情況下，.htaccess可能內含一些諸如資料夾存取等安全性相關的限制，.htaccess被移除也就停用了這些安全性限制。

另外，網站通常會擺上一個空的index.php檔案，以防網頁伺服器會在使用者存取該頁面時，列出網站資料夾，而移除index.php檔案則會暴露網站的結構。不過，最嚴重的還是wp-config.php被刪除，除了wp-config.php內含資料庫憑據外，缺少這個檔案，WordPress會以為程式尚未安裝，駭客只要刪除該檔案後，便可以替管理員帳戶更換安裝程序的憑證，在WordPress重新啟動安裝程序後，便能在伺服器上執行任意程式碼。

Ripstech認為，目前最熱門的CMS非WordPress莫屬，依照網頁科技調查網站W3Techs的統計，約有三分之一的網站使用WordPress，這也表示這些用戶很容易成為駭客的目標，但這個任意程式碼執行漏洞在第一次提報給WordPress安全團隊，歷經7個多月仍然沒有任何具體的修補計畫，於是決定將其公開。

而在Ripstech發現刪除檔案程式碼執行漏洞後，另一家資安公司Wordfence也發現了一個類似的漏洞，該漏洞發生在媒體上傳器的附件上傳AJAX動作，駭客透過WordPress處理檔案的漏洞，也能達到刪除wp-config.php檔案的目的，使WordPress重新啟動安裝程序，提供駭客執行任意程式碼的機會。

就在Ripstech公開漏洞細節後，WordPress在7月5日緊急釋出了安全維護更新4.9.7版本，除了修補上述兩個嚴重漏洞外，也一併修復了另外10幾項錯誤，官方表示，這版本是一個安全維護更新，只要網站使用3.7以上的所有版本，都強烈立刻更新到WordPress 4.9.7。

Linux基金會在開放課程平臺edX上，推出了免費的區塊鏈線上課程，想要進一步了解新興技術區塊鏈的人，可要趕緊搭上車，8月1日準時開課。這套為期5星期的課程，會從基礎教導學習者什麼是區塊鏈，區塊鏈對於全球變化的影響力以及其發展潛力，並進一步分析技術、商業、企業產品和組織的使用案例。課程免費提供給大眾，但也可以選擇付費取得證書。

Linux基金會提到，區塊鏈技術正在改變商業進行的方式，對於學習者來說，透過類比過去技術運作的方式來了解區塊鏈的不同是非常重要的。課程總共有四個章節，範圍包括概念、技術到實際案例都會提到。第一章節會講解區塊鏈的所有概念，並且討論在加密貨幣比特幣管理中，首度引入的三種分類帳系統，還有區塊鏈應用在政府、銀行、供應鏈以及其他行業的方式。

課程第二章就會講到市場上現存的各種區塊鏈治理的方法，以及共識（Consensus）應用在治理的方法，還會講解在公共以及私有領域透明分類帳的概念，並聚焦在以密碼學來實現交易的共識、不可變性以及治理。Linux基金會提到，這是區塊鏈的重點特色之一，能從不可信的來源提供可信資料，而這足以對傳統會計方法和國際貿易產生顛覆性的破壞。

第三章開始會進入區塊鏈的實際應用層面，介紹區塊鏈的具體功能，以及如何解決過去集中式架構所無法解決的問題。最後則會深入討論區塊鏈的使用案例，分析不同產業導入技術以及改善業務的實際例子，會要求學習者檢視給定的問題，並嘗試描述以區塊鏈技術解決該問題的方法。

該課程屬於商業與管理類，課程安排為5個星期，每星期約3到4小時，8月1日課程正式開始，學習者可以免費觀看該課程，但也可以付費99美元取得證書。

今年1月才傳出運動手環 Strava可能外洩軍事基地位置，上周兩大新聞組織Bellingcat與De Correspondent則再踢爆由芬蘭Polar所打造的運動手環程式允許任何人存取用戶自2014年迄今的運動路徑，不但可讓情報機構、軍事基地、機場或核武存放地點曝光，同時也曝露了在這些地方工作的軍人或工作人員的住家。

以心率追蹤功能聞名的Polar專門生產運動手環與運動手錶，該公司還打造了Polar Flow程式與社交平台，供用戶分享他們的運動路徑，其中的Explore功能可於單一地圖上呈現用戶所有的運動路徑，也包含心率、日期、時間與期間等資訊，利用這些資訊即可判斷Polar用戶工作的地方與住家。

Bellingcat說明，要追蹤這些資訊非常容易，先在地圖上找到某個軍事基地，點選在附近公布的活動，鎖定特定對象，再尋找該對象的所有運動路徑。Polar用戶在註冊時通常會附上自己的真實姓名與照片，與其它社交網站比對之後就能確認他的身分。

雖然Strava程式也能用來追蹤用戶的運動路徑，但Strava每次的運動期間是以獨立的地圖顯示，且有限制瀏覽數量，而Polar卻能夠在單一地圖上顯示用戶自2014年以來的所有運動路徑。

因此，Bellingcat發現了一名在空軍基地上班的高階主管的住家位置，還知道他每個周日早上都會出門慢跑，最喜歡的路徑是穿越一座森林，而且Polar Flow顯示了他的全名。另有一名駐紮在阿富汗的西方軍人經常在中東的幾個軍事基地附近慢跑，也能知道他在紐約的住家位置，或是到美西騎腳踏車，以及到泰國慢跑。

從Polar Flow上，還能夠發現哪些人在FBI或NSA上班，誰在核武基地上班，或是知道某個製造業的執行長在全球哪些地方運動。Bellingcat與De Correspondent總計找到了近6,500名Polar用戶的詳細資訊。

在隱私問題被披露之後，Polar已經暫時關閉了Polar Flow的Explore功能。

ESET資深研究員Anton Cherepanov指出，在最近出現惡意軟體的樣本中，ESET研究團隊發現，其中包含了由D-Link與全景軟體（Changing Information Technology Inc.）簽署的憑證，這2家公司獲報後，已經先後撤銷他們所簽署的憑證。

ESET研究團隊從近期的惡意軟體中，發現由D-Link署名的憑證，經對比後，確認與D-Link自行發行的軟體所使用的憑證相同。他們通知D-Link後，該公司也展開調查，並在7月3日註銷憑證。

根據調查，不光是D-Link的憑證遭竊，研究團隊發現有2個惡意軟體家族, 都濫用了遭竊的憑證，其中另一種是冒用全景軟體所署名的憑證。

這些惡意軟體樣本的另一個共通點是，它們都同屬Plead後門程式，主要的用途是竊取密碼。Anton指出，近期JPCERT特別針對這種後門程式家族，發布分析報告，並引用趨勢科技的資料指出，使用這些樣本的幕後攻擊者，是BlackTech網路間諜組織。

雖然全景軟體獲報後，也在7月4日註銷憑證，不過Anton表示，BlackTech仍在使用這些憑證簽署他們的惡意軟體。

Anton認為，BlackTech能夠盜取這些臺灣IT廠商的憑證，並實際應用於攻擊上，表示這個團體不僅具備高度技能，目標也鎖定在亞太地區。此外，在ESET研究團隊的樣本分析中，發現這些Plead後門程式會從Chrome、IE、Firefox瀏覽器，以及Outlook電子郵件軟體裡，收集已經儲存的密碼。