iThome

微軟在8月的Patch Tuesday修補了60個安全漏洞，當中包含了兩個已被駭客開採的零時差漏洞—CVE-2018-8373與CVE-2018-8414。

CVE-2018-8373是個遠端程式攻擊漏洞，存在於IE瀏覽器腳本引擎處理記憶體中物件的方式，駭客可藉由設置一個惡意網站、入侵合法網站、嵌入惡意廣告，或是在代管IE描繪引擎的應用程式或Office文件中嵌入一個ActiveX控制來開採該漏洞。

成功的開採可造成記憶體損壞，並讓駭客得以取得使用者權限並執行任意程式。該漏洞影響IE 9、IE 10與IE 11。

至於CVE-2018-8414亦是個遠端程式攻擊漏洞，發生在Windows Shell無法妥善驗證檔案路徑時。駭客可透過電子郵件附加檔案或是在網站上嵌入惡意檔案來開採CVE-2018-8414，成功的攻擊也能讓駭客取得使用者權限並執行任意程式，自今年6月就傳出多起鎖定該漏洞的攻擊行動。此一漏洞影響了32位元與64位元的Windows 10 1703/1709/1803，以及Windows Server 1709/1803等作業系統。

趨勢科技旗下的零時差倡議（Zero-Day Initiative，ZDI）還特別提及了Microsoft Exchange記憶體損毀漏洞CVE-2018-8302。根據ZDI的說明，該漏洞允許一般Exchange用戶取得NT Authority\System帳戶，以執行任意程式。

ZDI表示，修補Exchange總是令IT人員感到恐懼，因為大家都擔心弄壞電子郵件伺服器，但這卻是個不容忽視的漏洞。

新聞

繼日前微軟拿到價值數億美元的美國政府長約後，近日該公司又有新動作積極布局政府市場，近日微軟已經宣布，混合雲解決方案Azure Stack，已經開放Azure Government的用戶訂購。在今年3月時，微軟就已發布相關消息，要讓政府雲用戶可導入混合雲解決方案，使用Azure上的災難復原、軟體市集等服務。微軟表示，尚未準備好推上雲或者礙於法規，無法推上公有雲的應用程式，可以就近部署在Azure Stack環境運作。

目前Azure Stack已經符合美國聯邦風險與授權管理計畫（FedRAMP）認證、支付卡產業資料安全標準（PCI DSS），以及CSA雲端控制矩陣（CCM），「對政府用戶而言，符合法遵要求不僅是優先要求，也是挑戰。」微軟認為，作為混合雲策略基礎的Azure Stack，必須和公有雲維持高度一致性，提供相同的API、DevOps工具。同時，公有雲上新興工具，像是容器技術、無伺服器應用，Azure Stack也能同步支援。

而使用Azure Stack的公部門用戶，為了因應法規、政府需求，可以先在公有雲環境Azure Government開發應用程式，接著部署至本地Azure Stack環境，符合資料落地的需求。

新聞

Google在Next 2018大會上發表的服務，近日逐漸正式上線，繼無伺服器NoSQL資料庫Cloud Firestore已正式推出後，Google主打的事件驅動無伺服器運算平臺Cloud Functions也正式上線了。

Cloud Functions是Google在2017年就對外發布的測試版服務，提供Node.js Runtime，還有像是HTTP/S等重要功能，讓使用者部署功能後，就能直接呼叫使用。而現在Google宣布Cloud Functions已正式上線，已經提供SLA能夠投入生產，服務地區增加歐洲和亞洲。這次發布Google將Cloud Functions作業系統升級到了Ubuntu 18.04 LTS，擴大了可用函式庫的範圍，除了Imagemagick一直都有外，還多了Ffmpeg和Libcairo2系統函式庫，連無頭Chrome也有，使用者不只可以在Cloud Functions中處理影片，甚至還能進行網頁截圖。

現在可以在Cloud Functions使用擁有非同步功能的Node 8，由Cloud Functions提供資料與上下文內容，使用者可以使用Node 8的Await關鍵字功能，等待非同步操作的結果，驅動Cloud Functions的功能，而這樣的形式為非同步操作提供更好的心智模型。另外，在Cloud Functions上也可以使用Python 3.7，用法與Node相同，透過HTTP請求由Cloud Functions為後端提供資料與上下文內容，且由於Python的HTTP功能基於Flask微框架，可以非常快速的啟動執行。

而Cloud Firestore也與Cloud Functions整合良好，借助Firebase功能和HTTPS請求觸發的事件Cloud Functions使用者可以讓後端程式碼自動執行。而這個版本已經完全支援Node 8，包括ECMAScript 2017以及Async/Await等相關功能，同時也能對Runtime進行更精細的控制，包括區域、記憶體或是超時等條件，讓使用者微調應用程式的行為。諸如分析、Firestore、即時資料庫與身份驗證等Firebase事件，也能直接在GCP上的Cloud Functions控制臺中使用，使用者透過GCP專案直接驅動功能以回應Firebase事件，將為應用程式帶來額外的設計靈活性。

使用者還能設置Cloud Functions環境變數，透過指定和功能綁定，但不存在於原始碼的鍵值與資料，傳遞設定到功能中，而環境變數會在執行期間注入到環境中。另外，Cloud Functions現在也可以使用完全託管的安全直接連線，連接Cloud SQL。

不過，Cloud Functions仍然有許多功能還未開放使用，但想嘗鮮的使用者已經可以申請試用。像是讓使用者控制規模的擴展控制目前在Alpha測試階段。而無伺服器排程功能也還在測試，該功能將能讓使用者在指定時間啟動Cloud Functions功能，這對於每日例行工作特別有用。還有，Cloud Functions將能存取運算引擎虛擬機器，並加入IAM安全性控制。

而在不久後，使用者也可以用到無伺服器容器，Google將提供支援Cloud Functions底層的架構，讓使用者只要輸入Docker映像檔，就能在任意Linux發布版上，部署任意的Runtime以及系統函式庫，同時保留與Cloud Functions相同的無伺服器特性。

新聞

各式IoT連網裝置受到入侵後，將能被有心人士利用、濫用，或可能成為跳板而不自知，成為DDoS攻擊的共犯。資安業者Palo Alto Networks的Unit 42研究小組發現，最近有以Mirai及Gafgyt惡意軟體衍生的殭屍網路活動，鎖定家用路由器為目標，並將利用它們來執行DDoS攻擊，進而攻擊特定網站。

關於這波IoT惡意程式的攻擊，Palo Alto Networks表示，一旦家中的路由器被他人控制時，對方就可以安裝受它們控制的攻擊軟體，將裝置變成殭屍網路的一環。攻擊者將可遠端指使殭屍網路內的所有路由器，例如，傳送大量資料嘗試癱瘓特定網站。

對於用戶而言，要如何避免遭受攻擊，Palo Alto Networks也指出，引發這類攻擊的原因，是因為家用路由器設定了脆弱的密碼，或是過時的軟體而導致。也就是說，用戶設備的登入無線網路產品管理介面的密碼太簡單易猜，或是路由器的韌體版本太舊，也沒有再更新。

簡單來說，若是家用路由器遭入侵，對於用戶來說會有兩種影響，一是造成網路連線緩慢或中斷，二是讓我們不知不覺變成攻擊其他網站的幫兇。

在Palo Alto Networks的研究報告中，也指出了更多細節。例如，在今年5月時，已經出現了3款以Mirai和Gafgyt惡意軟體家族，衍生的惡意軟體變種原始碼被公開在網路上。而且，這些新型惡意程式將鎖定IoT設備的已知漏洞。

他們主要觀察到三個殭屍網路攻擊活動，第一個是更進化的Omni殭屍網路，而Omni其實也是Mirai惡意軟體的最新變種之一，將多個IoT設備的已知漏洞整合在惡意程式，像是他們的研究人員在Omni的樣本中，發現融合了多達11個可利用的漏洞，比之前的IoT Reaper的9個更多。第二個殭屍網路攻擊活動他們命名為Okane，除了利用上述的手段，同時會額外以憑證爆破攻擊，甚至他們在某些樣本中，還發現增加了新的DDoS攻擊方式。

另外，研究人員還發現了第三個名為Hakai的殭屍網路活動，使用上述的大多數漏洞利用之外，加密方法也與Mirai類似，但它是基於Gafgyt惡意軟體所衍生。

新聞

官方預告即將在今年下半年釋出的TensorFlow 2.0，重點目標將擺在易用性改善上，而最有看頭的特色將圍繞著Eager Execution正式發布，這個命令式程式開發環境，能立即執行程式碼評估操作，也就是說開發者能夠進行即時除錯，這正是社群期盼已久的功能，將在TensorFlow 2.0正式提供。

官方論壇文章提到，不久後，將對計畫中的更新，舉辦一系列公共設計評論，在這過程中將能說明一部分TensorFlow 2.0的新功能，並且接受社群的回饋以及提案修改計畫。另外，由於受限於TensorFlow採用語意版本控制，TensorFlow 2.0開發會順帶進行一些較大的錯誤修正與改進，為了簡化過渡手續，官方會建立轉換工具，用來幫助更新Python程式碼適用TensorFlow 2.0相容API，並在無法自動進行轉換的情況下發出警告。過去在發布TensorFlow 1.0時，類似的工具對開發者有很大的幫助。

不過，並非所有更新都可以自動完成，官方提到，他們準備棄用一些API，部分API並沒有對應的替代API，而為了解決這個問題，官方承諾會提供相容模組Tensorflow.compat.v1，其中仍含有完整的TensorFlow 1.x API，並在TensorFlow 2.x的生命週期中繼續維護。

在最終版本的TensorFlow 2.0發布後，TensorFlow 1.x將不在進行任何新功能開發，但是會在TensorFlow 2.0發布日起，為TensorFlow 1.x版本提供一年的安全性補丁。

另外，由於TensorFlow的Contrib模組已經超過單個儲存庫可維護與支援的程度，官方認為，更大的專案最好單獨維護，方便在主要TensorFlow程式碼中培育較小的擴充。所以在釋出TensorFlow 2.0時，也將停止發布tf.contrib，官方在接下了幾個月，會與個別擁有人討論搬遷計畫，包括在社群頁面以及文件中發布TensorFlow擴充的方法。

新聞

今年3月時，SAP旗下的差旅支出管理服務團隊宣布，在Slack推出兩款聊天機器人，分別是旅費管理Concur Expense和行程規畫Concur Travel，當時Concur Expense已經推出公開測試版。而這次輪到Concur Travel，SAP在近日宣布，該款Chatbot已經邁入Beta階段，開放給Slack、Concur Travel的用戶測試。

現在使用Concur Travel機器人，企業用戶可以直接在Slack上搜尋機位，並且一起和同事預定機票。這一次釋出的公開預覽版，新推許多方便功能。結合企業用戶與航空公司協議的契約，使用者可以在Slack上搜尋班機，利用航班、機艙等級、航空公司作為過濾條件，不需離開Slack就能完成。此外，如用戶有多人劃位需求，使用SAP Concur Travel聊天機器人，可以直接在公開、私人頻道與同事一同訂票，加快差旅規劃速度。

在完成訂票後，該聊天機器人會串接SAP Concur用戶資料與訂位需求，並且記下付款資訊、哩程回饋等。接著，系統會將行程匯入Concur Expense，完成訂閱手續。

SAP表示，Slack是成長快速的協作平臺，每日有800萬活躍用戶，藉由此合作，使用者可在Slack上利用該聊天機器人，直接交付差旅預約服務。該公司表示，Slack團隊平均每周花10小時在該平臺上溝通。此外，在2017年的使用數據顯示，使用SAP Concur訂機票的用戶，單間公司至少有2個以上員工使用Slack，「因此，我們認為在Slack上打造Concur Travle Bot，再自然不過。」

使用者可以直接在Slack上搜尋班機，利用航班、艙等、航空公司作為過濾條件。若用戶有多人劃位需求，也可透過SAP Concur Travel聊天機器人，直接在公開、私人頻道與同事一同訂票。圖片來源：SAP

新聞

今年全球加密貨幣市場特別動盪，根據CoinMarketCap的統計，全球加密貨幣的市值從今年1月7日的最高點到今天（8/15），已從8,256億美元下滑至2044億美元，蒸發了75%。

身為群龍之首的比特幣歷史高點出現在去年12月17日的20,001美元，當時比特幣的市值接近3,350億美元，但今天（8/15）比特幣的價格為6,368美元，市值則只剩1,096億美元，蒸發了67%。

至於以太幣的歷史高點則是今年1月15日的1,389美元，市值為1,347億美元，時至今日，以太幣的價格只剩284美元，市值跌至288億美元，跌幅高達78%。

排名第三的瑞波幣（Ripple）高點是在今年1月4日的3.67美元，當時的市值為1,424億美元，今天只剩0.285美元，市值狂掉至112.4億美元，是今年以來前三大加密貨幣中跌幅最高的，跌了92%。

科技新聞網站Ars Technica認為，加密貨幣價值暴跌的原因與它們飆漲的原因都同樣地神秘不可測。區塊鏈專家Samson Mow亦有同樣的看法，覺得很難將此一現象歸諸於任何特定因素，或者只是因為大多數的加密貨幣長期以來都被高估了。

新聞

台灣三星今天(8/15)正式在國內發表最新旗艦級手機Note 9，這款和蘋果iPhone X打對台的手機售價也終於揭曉，售價從30900元起跳。

Note 9採用6.4吋WAHD Super AMOLED雙曲面螢幕，搭配第五代大猩猩玻璃，內建10奈米製程八核心處理器，共推出兩款機型，6GB記憶體/128GB容量售價30900元，而最高階的8GB記憶體/512GB容量則是38900元，將Android手機售價推向新高。

該手機支援雙SIM卡待機，將於8月24日上市，台灣三星從今天下午4點至8月20日開放預購，共推出「湛海藍」、「薰衣紫」、「霧金銅」三色，S Pen手寫筆顏色也各有不同：

相較於前一代的Note 8，Note 9螢幕從6.3吋稍稍加大為6.4吋，內建電池容量也從3300mAh提高到4000mAh，以因應現代人長時間使用手機觀看影片、上網、玩遊戲的需求。

除了螢幕、規格、售價的提昇，這次Note 9的一大特色之一是手寫筆S Pen加入了遠端控制功能，讓S Pen可以低功耗藍牙控制手機上的功能，例如長按手寫筆上的按鈕，可以快速啟動手機上的相機，按一下啟動快門拍照，或是按兩下切換相機模式，對於使用手機作團體合照或自拍的使用者方便不少。

S Pen的低功耗藍牙功能，當手寫筆插回手機中就會自動充電，40秒可充到使用30分鐘的電力。除了遠端遙控手機上的相機功能，使用者還能設定啟動簡報工具，讓S Pen化身為簡報器，按一下切換簡報投影片；或是在觀看YouTube時暫停影片播放。

在S Pen的遠端控制功能頁面中，使用者可以設定S Pen按鍵快速啟動的應用，例如快速開啟相機、多媒體簡報等等：

在日常生活拍照上，主相機採用1200萬畫素雙光圈相機，包含標準及望遠鏡頭，標準鏡頭支援F1.5及F2.4光圈，望遠鏡頭為F2.4。支援2倍光學變焦、HDR、OIS光學防手震。前置相機則是800萬畫素。

為了滿足生活中不同使用情境需要，Note 9具備了IP68防水防塵，可在1.5公尺以內水深使用達30分鐘。在身份安全上，支援指紋、臉部及虹膜辨識。

另外，過去三星針對商務人士設計的行動工作站Samsung Dex，是一款手機配件，其實就是一個手機專用的連接底座，可連接Galaxy S8或Note 8手機，利用HDMI將畫面傳輸至電視或電腦螢幕，Samsung Dex還可連接乙太網路及USB週邊裝置，例如滑鼠、鍵盤，讓手機化身為具有生產力的電腦。

而在Note 9則整合了Samsung Dex功能，可以直接以HDMI輸出畫面至電視或電腦螢幕，將手機螢幕當成觸控板，控制滑鼠移動、點擊。

新聞

三星（Samsung Electronics）於本周三（8/15）發表了該公司首款5G數據機晶片—Exynos Modem 5100，不讓已發表5G數據機的高通、英特爾及華為等業者專美於前。

三星宣稱Exynos Modem 5100是業界首款完全符合國際電信標準制定組織3GPP（3rd Generation Partnership Project）最新版5G-NR R15規格的5G數據機，採用10奈米製程，而且它同時支援從2G到5G的標準。

Exynos Modem 5100除了支援5G-NR R15規格中的sub-6GHz與毫米波（mmWave）頻段之外，也支援2G的GSM/CDMA，3G的WCDMA、TD-SCDMA、HSPA，以及4G LTE，有鑑於5G將被部署在既有的網路架構上，因此讓單一數據機晶片相容於舊式架構將能最大化通訊網路之間的資料傳輸效能與可靠性。

在Exynos Modem 5100連接sub-6GHz基地台時，最快的下載速度為每秒2Gb，若是連接毫米波基地台時，每秒的下載速度則可達6Gb，連結4G基地台也能達到1.6Gbps的下載速率。

在正式發表Exynos Modem 5100之前，三星已建立一個模擬真實世界行動網路條件的無線測試環境，內含5G基地台與嵌入Exynos Modem 5100的原型機，以協助客戶加速開發基於Exynos Modem 5100的行動裝置。Exynos Modem 5100準備在今年底前開始送樣。

新聞

澳洲政府以偵辦案件及反恐為由，本周提案要求提高執法機關存取國內、外企業加密資料的權限，包括祕密存取裝置上的資料，違者最高可處以千萬澳幣。

澳洲這項名為《2018年協助與存取法案》(Assistant and Access Bill 2018)的修正案草案，旨在提高該國執法機關和安全單位存取重要資訊，以進行案件調查和蒐集證據。

這項法案除了強化澳洲國內業者對執法機關和安全單位提供「合理」協助的義務外，也首次將該要求擴及在澳洲境內提供通訊服務和裝置的境外業者。本法案除了要求執法機關能在現有搜索令下公開存取資料，也要求有新的搜索令，讓執法機關可以祕密直接從裝置上取得證據。

提出上述草案的執法與網路安全部長Angus Taylor指出，澳洲政府不容許恐怖份子和戀童癖者有處可藏，新的法案革新了數位時代下執法和國家安全調查的方法，又無需要求企業弱化他們的系統。

這項草案不意外地也引起隱私權人士的批評，Ars Technica引述澳洲迪肯大學教授Adam Molnar指出，沒有證據顯示這些問題在澳洲比別地方更嚴重，但澳洲政府透過立法途徑擴大權限，而且在某些方面，還比美、加同等單位還更大。

例如，如果有個人或用戶不從，澳洲政府研擬可判處個人5萬澳幣（110萬台幣）及企業1000萬澳幣（2.2億台幣）的罰金。而且不像美國業者如Google、微軟、蘋果可以公佈政府索取資訊的數據，澳洲法案禁止受到壓力的企業聲張這些事。

新聞

廣告封鎖程式uBlock Origin開發者Raymond Hill與德國的隱私暨安全部落客 Mike Kuketz近日相繼指出，Firefox上擁有逾22萬安裝次數的外掛程式Web Security偷偷紀錄且傳送了使用者的瀏覽資料，諷刺的是，Mozilla才在上周推薦Firefox用戶安裝該外掛以確保安全。

Web Security宣稱是個可保護電腦與使用者隱私的Firefox外掛程式，藉由廣泛的資料庫與即時防護技術來協助使用者避開惡意網頁。Mozilla上周在一篇部落格（目前已找不到）中推薦了多款可用來保護使用者隱私的Firefox外掛程式，其中一款即為Web Security。

率先察覺Web Security有問題的是一名代號為echosa的Reddit用戶，他根據Mozilla的文章找到了Web Security，但覺得該外掛程式看起來並不值得信賴，也質疑該程式為何需要用戶允許它與Firefox以外的程式交換訊息。

接著Hill即發現Web Security紀錄了Firefox所造訪的所有網頁，並將它們傳送到特定的IP位址。幾天後Kuketz進一步指出Web Security是以未加密的HTTP傳送這些瀏覽器紀錄，且該IP位址指向一台位於德國的伺服器。

在面臨社群質疑之際，Mozilla已於推薦名單中移除了Web Security，同時展開調查。另一方面，打造Web Security的Creative Software Solutions在接到The Register的詢問之後，表示收集這些瀏覽資訊是用來與資料庫中的黑名單進行比對，也是確保該外掛程式功能的必要步驟，與追蹤用戶行為一點關係都沒有。目前Web Security仍安然存在於Firefox的外掛程式網站上。

新聞

身分管理服務供應商Okta的安全工程師Andrew Lee日前揭露，微軟的Active Directory同盟服務（Active Directory Federated Services，ADFS）在處理多因素身分認證（Multi-Factor Authentication，MFA）請求時會產生漏洞，將允許某個帳號的第二認證因素成為該組織所有帳號的第二認證因素。

ADFS是微軟所開發的、支援MFA的身分認證系統，主要應用於Windows Server上，可搭配微軟或第三方的MFA供應商的服務，扮演企業守門員的角色。有許多企業都仰賴ADFS進行整個組織的身分與資源管理，以達到單一簽入（Single Sign On）目標。

根據Lee所描述的攻擊場景，若駭客已經持有Bob的使用者名稱、密碼，以及第二個認證因素時，若要以Alice的身分登入，只要知道Alice的帳號與密碼，就能以Bob的第二個認證因素作為Alice的第二個認證因素，前提是Bob與Alice位於同樣的AD組織中。

問題出現在AD伺服器只能驗證它所發行的MFA令牌，但無法驗證該令牌屬於哪個身分，因而允許駭客利用Bob的第二認證因素來登入Alice的帳號。

Lee說，該漏洞影響所有採用ADFS 3.0官方整合API的MFA解決方案。另一方面，微軟則說明成功開採該漏洞的駭客只能繞過一部份、而非所有的認證因素。

微軟已於本周的Patch Tuesday修補了此一編號為CVE-2018-8340的安全漏洞，主要是修正了ADFS處理多因素認證請求的方式。

新聞

GitHub開始被教育工作者使用在課堂教學中，特別是電腦科學以及軟體工程領域上。GitHub透過對8,000名學生與老師進行研究，並假設在程式設計課程中使用GitHub，能塑造學生的學習成果與課堂體驗。結果顯示，由於GitHub提供的協作以及回饋機制，不只提高了學生的學習體驗，也順帶增加了進入業界的自信。

GitHub教育團隊調查8,000位學生與老師，比較有在課堂使用GitHub與沒有在課堂使用GitHub的學生相比，總結GitHub帶來了5點主要好處，第一、學生覺得對未來職場有更佳的準備，第二、學習到更多業界使用的工具、協作方式，還能產生作品集和學習專案管理，第三、與開發社群有更多的連結，第四、從學校與軟體產業中獲得歸屬感，第五、在GitHub上收到老師給的回饋，能獲得更多的好處。

調查顯示，31％在課堂上使用GitHub的學生和14％未在課堂上使用GitHub的學生非常同意，課堂課程已經為他們參與開發者社群做了良好的準備，差異顯示使用GitHub，讓更多的學生認同自己已經做足了準備。在課堂上，30％使用GitHub的學生和15％未使用GitHub的學生都非常同意，課堂讓他們準備完成自己的作品集，而在專案管理方面，25％使用GitHub的學生12％未使用GitHub的學生非常認同，他們已經對專案管理有了更多的了解。

對於適應軟體開發產業日新月異的工具，29％在課堂上使用GitHub的學生和14％沒有使用的學生非常同意，他們對於熱門的工具有了更深入的了解。在課堂上，33％使用GitHub的學生和19％未使用的學生都非常同意，課程替他們未來的實習與職業做好了準備。此外，GitHub在教導學生團隊合作與開發協作也有很大的幫忙，32％使用的學生和17％的未使用的學生非常認同，課程教導他們更多的專案團隊合作方法。

在課程中使用GitHub，似乎對歸屬感影響巨大，GitHub提到，這是學術成功的重要變數。有51％在課堂上使用GitHub的學生和37％未使用的學生同意或強烈同意，在課堂上獲得歸屬感。在軟體開發產業歸屬感上，48％在課堂上使用的學生和37％沒使用的學生表達同意或強烈同意，能增強對該領域的歸屬感。

老師透過GitHub給予學生回饋，也能微幅提升回饋的有效性，75％透過GitHub收到老師回饋的學生和65％未從GitHub收到老師回饋的學生同意或強烈同意，回饋是有幫助的，儘管效果差距不如之前的項目大，但仍有10％的提升。而且老師在GitHub上給學生的回饋，學生覺得老師更加關注自己的需求。

GitHub是專案管理與促進軟體開發的關鍵社交平臺之一，而最近，教育工作者也開始使用GitHub，儘管GitHub不是只能用在特定研究領域上，但是對電腦科學以及軟體工程特別有用。GitHub透過學生個人與分組作業分配、協同合作以及回饋，被證實有促進學生學習的效果。GitHub強調，這些結果是受訪者的平均情況，可能與每個課堂的實際狀況不盡相同。

新聞

近日IBM宣布，自家公有雲的Kubernetes服務，開始支援最近期發布的Kubernetes 1.11.2版，現在企業用戶部署在該環境運作的叢集，都可以更新至該版。

現在導入IBM Kubernetes服務的企業用戶，未來新開的叢集，已經預設執行Kubernetes 1.11後的版本。若基礎架構管理員想要更新其他叢集，IBM先前也有推出新部署方式，支援開發者用命令程式列、圖像化介面，皆可執行部署任務。

目前IBM公有雲所支援的Kubernetes版本，分別是1.9.x、1.10.x，以及1.11.x這三大版本，該公司表示，今年9月28日起，執行Kubernetes 1.8版的叢集，將不再獲得原廠支援。

在官方使用文件中，IBM也有列出更新Kubernetes主節點、工作節點必須注意的事項。在同一時間內，IBM Kubernetes服務會同時支援3個相異版本。以該公司所支援的最新版為基準點，企業用戶所部署的API伺服器，最多只能超前兩個版本。此外，工作節點執行的版本，不能比主節點還新，基礎架構管理員必須先更新主節點，接著才輪到工作節點。在更新期間，API伺服器會停機5至10分鐘，使用者也不能存取該叢集。

現在IBM Kubernetes服務也與自家產品生態系高度整合，包含自家IBM Watson、IoT、DevOps及資料分析，以及第三方軟體廠商的服務。

IBM宣布，自家公有雲的Kubernetes服務，開始支援最近期發布的Kubernetes 1.11.2版，可使用命令程式列、圖像化介面更新。而9月28日起，執行Kubernetes 1.8版的叢集，將不再獲得支援。圖片來源：IBM

新聞

去年8月時，微軟與Amazon展開策略聯盟，一同整合語音助理Cortana與Alexa，在今年Build開發者大會上，微軟也示範，透過Alexa呼叫Cortana發送電子郵件、查看行事曆。而在近日，微軟與Amazon則聯合宣布，現在此合作案已經邁向公開預覽階段。現在，美國消費者可以搶先體驗在Amazon Echo上呼叫Cortana，或者使用Windows 10 PC設備喚醒Alexa。

微軟表示，這兩個語音助理擅長處理的任務不同，彼此可以相互支援。例如，使用Office 365的用戶，可以要求Cortana呼叫Alexa，採購民生用品或調整居家空調。或者，使用者可以透過Amazon Echo，呼叫Cortana，協助安排行事曆、查看電子郵件。

不過，微軟表示，當前使用者還不能利用語音助理，播放串流音樂、設定鬧鐘，未來會陸續整合新功能。該公司也會根據公開預覽版收集到的用戶回饋，改善此服務底層的演算法。

新聞

近日Intel發布了L1終端故障（L1 Terminal Fault，L1TF）漏洞後，公有雲廠商陸續也啟動修補工作，避免影響企業用戶。像是Google公有雲運算服務，就採用主機隔離功能，確保各虛擬機不會共用作業系統核心，同時也開始監控主機是否存在特定類型的攻擊。因應L1TF漏洞，提供公有雲運算的DigitalOcean，也開始進行防堵措施。

DigitalOcean資安長Josh Feinblum表示，對該公司而言，L1TF漏洞會影響多租戶架構的虛擬機環境，只要在同一處理器核心上運作的Guest應用，其資料都有曝露的風險。這也意味著，攻擊者可以利用該公司提供的雲端虛擬主機作為入口，瀏覽其他虛擬機中儲存的資料。

Josh Feinblum表示，該公司已會著手修補任務，預計未來幾周內就會完成工作。除了確保用戶虛擬機內的資料安全，該公司也嚴密監控該漏洞。若修補任務將對用戶造成影響，或者配合必須措施，減緩該漏洞影響，「我們也會直接與用戶聯繫。」他表示。

DigitalOcean的公告也引起企業用戶的討論，不少使用者在該討論串向DigitalOcean提議，未來該公司虛擬機是否可採用AMD處理器。而該公司則回應，現階段並沒有採用AMD處理器的計畫。

新聞

主打容器安全的新創公司Aqua，今年陸續推出免費容器映像檔掃描工具MicroScanner，以及讓該工具串接Jenkins流程。而現在Aqua又開源釋出一款容器資安工具Kube-hunter，這款新工具鎖定了Kubernetes容器基礎架構環境，可以執行滲透測試任務，加強自家容器環境的安全性。現在該專案已經登上GitHub，讓開發者可自由使用。

因應容器化部署需求，Aqua也有推出容器版本的Kube-hunter，方便企業用戶部署。而Aqua也有將該工具與Kube-hunter網頁進行串接，讓使用者可以與組織其他成員分享滲透任務的執行結果。Aqua表示，使用者輸入電子郵件後，系統會寄送一組Docker指令及Token，接著，在自家容器環境輸入該指令，Kube-hunter就會開始執行滲透測試。最後，Kube-hunter提供一組URL給該企業，讓使用者了解當前容器基礎架構潛在的問題。

目前，Kube-hunter總共有被動、主動此兩種模式。該工具預設為被動模式，可以用來探測企業用戶Kubernetes環境內潛在的存取弱點。在主動模式中，Kube-hunter執行的任務範圍，包含檢查Kubernetes SSL憑證中的電子郵件位址、掃描Kubernetes既有通訊埠是否有開放端點，以及Azure Kubernetes叢集部署是否有按照正確組態設定等。

如使用者將Kube-hunter調整至主動模式時，使用被動模式搜尋出的弱點，系統會點出攻擊者可能使用的攻擊手法。Aqua表示，開啟主動模式的企業用戶要特別注意，「它們有可能會改變叢集當前運作狀態，或者執行的程式碼。」

現在Kube-hunter總共有3種不同使用方式。第一種方式，將Kube-hunter容器部署在叢集外，指定叢集的網域名稱、IP位址後，就能進行滲透測試。第二種方式則是將Kube-hunter部署在叢集內特定主機運作，直接在本地環境偵測、掃描。最後，則是使用Pod作為部署單位，執行Kube-hunter。

不過Aqua也一再強調，強烈禁止開發者在非自家環境內，使用該款滲透測試工具。在發布Kube-hunter前，該公司已經審慎評估此款工具可能遭不法濫用，「不過事實上，非法人士早就在用不同工具進行測試、掃描。」透過此款工具，Aqua希望可以讓維運人員、系統管理員更容易找出系統部署漏洞，提早進行準備。

利用Kube-hunter就可以進行免費Kubernetes環境滲透測試，在Kube-hunter網頁中，系統會列出使用者環境出現的漏洞、嚴重性，以及問題細節的描述。利用URL，企業用戶也可以與組織內其他成員分享掃描結果。圖片來源：Aqua

新聞

開源DevOps服務供應商Sonatype發表DepShield，這是一個針對GitHub的應用程式，能自動識別開源相依專案程式碼中的漏洞，提醒開發人員需要修補的部分，提高企業對於開源治理的能力。

Sonatype提到，根據他們針對DevSecOps社群的調查，2018年被懷疑或是證實洩漏企業，其中有三分之一來自開源軟體的漏洞，而這個數字從2017年以來增長了55％。Sonatype釋出的DepShield，則能幫助企業在其DevOps工作管線中，自動化提升應用程式安全性，以維持開源程式碼與專案的安全性。

DepShield使用了Sonatype自家開源軟體索引，將已知的開源資料直接整合進GitHub私人或是公開程式碼儲存庫中，讓開發人員可以立即識別，並且加以修補。DepShield會持續監控專案，並且自動產生安全漏洞訊息，開發人員能夠查看GitHub問題追蹤器已知安全性問題，並透過點擊相關訊息，檢視CVE和CVSS的詳細資訊。另外，也能根據漏洞訊息，確定受影響的專案版本與範圍。

DepShield現在免費釋出，企業可用於私人與公開的GitHub儲存庫，並且可以與軟體專案管理及自動構建工具Apache Maven合用，目前支援JavaScript，而Python還要再等等。

新聞

台北市政府為推動無現金支付帶頭做起，和OK超商合作在市府一樓設立迷你超商，由4台自動販賣機組成，讓民眾體驗無現金支付的便利性。

台北市長柯文哲日前在智慧數位支付會議中表示，北市將電子商務列為施政重點，而推動無現金支付則是第一優先。台北市希望由內而外，由公而私帶頭消滅現金。首先是和OK超商合作在台北市政府一樓設立無現金支付體驗專區，引進OK超商的OKmini迷你超商。

迷你超商由4台自動販賣機組成，支援的無現金支付包括信用卡、悠遊卡、一卡通、Samsung Pay、Apple Pay、Google Pay，除了感應式付款，販賣機也可掃描QR Code支援街口支付、Line Pay、微信支付、支付寶等其他支付工具。完成付款，販賣機就會列印發票，OK超商表示，機台也支援電子發票，但目前尚未開放使用電子發票。

OK超商表示，OKmini結合智能系統、便利商店的經營模組，加上實體超商門市，將能擴大超商的服務網絡。迷你超商等同一家完整的超商，販賣機涵蓋常溫、4度、18度C商品，將傳統實體門市的商品依地點的需求客製化設計，以這次北市府設立的無現金支付體驗專區為例，即以商辦作為上架商品參考，提供冷飲、泡麵、麵包、餅乾、飯糰等商品，還有北市熊讚等特殊紀念商品。

趕搭智慧零售的趨勢，國內超商業者紛紛採用科技，打造智慧商店或無人商店，這次北市府和OK超商合作以迷你超商推動無現金支付體驗，結合自動販賣機節省佔地空間、24小時營業，以及支援各種無現金支付特色，也讓自動販賣機煥然一新，在智慧零售時代上扮演新的角色。

北市除了設置無現金支付體驗專區，去年還推出了智慧支付平台pay.taipei，讓民眾可以電腦、手機線上繳費，支付停車、水費、醫藥費等市政規費。

新聞

就在美中貿易談判進行之際，研究人員發現，中國駭客近數月來多次以網路後門程式駭入美國阿拉斯加州政府及該州電信、能源公司網路進行弱點掃瞄，企圖刺探情資。

Record Future研究單位Insikt Group發現，一個名為ext4的Linux後門程式從3月底到6月底之間在該州政府、自然資源部、能源、電話和電信公司的網路上進行勘查行為，尋找可能的漏洞。經過分析是來自清華大學、IP166.111.8[.]246的CentOS網頁伺服器，研判是中國駭客利用清華大學伺服器對美國政府及企業網路進行滲透。

這件事發生在五月間阿拉斯加與中國進行貿易往來洽談前後，當時阿拉斯州州長Bill Walker曾偕同該州企業及經濟開發部會官員造訪中國並待了將近一周。而昨日Walker也曾公開對美中貿易衝突可能損及美國經濟表達疑慮。

ext4是一個極高明的程式，它在進入受害單位的網路後，除了執行後門程式的子程序外，還設定180秒的時間，即3分鐘一到，程序就會休止以免被偵測到。研究人員表示除了今年6月植入西藏的數個組織外，還沒有在其他地方有ext 4的活動紀錄。

ext 4旨在蒐集網路流量。它和中國方面的系統建立大量連線，以阿拉斯加州為例，從4月6日到6月24日，就有高達百萬次連線，其中在美方團隊訪問離開時出現峰值，顯示駭客可能希望刺探到阿拉斯加州方面對洽談本身，以及策略優勢的想法。

不過路透社引述清華大學駁斥此指控毫無根據。

除了美國阿拉斯加州以外，ext4後門程式也染指了聯合國奈及利亞辦事處、肯亞、巴西及蒙古政府單位、及德國車廠戴姆勒（Daimler AG）的網路。被駭入的政府單位都和交易會議的核心產業，如天然氣和石油有關，而戴姆勒則是在前一天針對美中貿易緊張關係影響獲利發表示警。

微軟修補兩個已被駭客開採的零時差漏洞

布局政府雲端市場，微軟混合雲解決方案Azure Stack已開放公部門採購

Google事件驅動無伺服器平臺Cloud Functions正式上線了!

新型Mirai及Gafgyt惡意軟體現身，將鎖定家用路由器

TensorFlow 2.0將捨棄部分API，預計下半年登場

SAP聊天機器人Concur Travel登上Slack，出差找航班、訂機票變得更方便了!

今年以來全球加密貨幣市值已蒸發75%

三星旗艦手機Note 9登臺，售價30900元起

三星發表可同時支援2G~5G的數據機晶片，投入5G戰場

澳洲政府以犯罪調查、反恐為由擬要求祕密存取國內外企業資訊

Mozilla曾推薦的Firefox外掛Web Security遭懷疑會偷偷追蹤用戶

微軟ADFS含有可繞過多因素認證的安全漏洞

調查：在課堂中使用GitHub能大幅提升學生進入業界自信

IBM公有雲Kubernetes服務開始支援1.11.2版本

微軟與Amazon聯手整合Alexa與Cortana有成，在美釋出公開預覽版

L1TF漏洞攻擊手法讓雲端服務商動起來，DigitalOcean也提出因應之道

Aqua推出開源Kubernetes滲透測試工具Kube-hunter

DepShield可自動化監控相關開源專案程式碼漏洞

北市府帶頭消滅現金，攜手OK超商引進支援多種無現金支付的迷你超商

研究：中國駭客以後門程式滲透美阿拉斯加州政府及企業網路