iThome

Google 雲端平台服務（Cloud Platform）部門持續加碼企業市場，本周推出針對企業而設計的AI預包裝服務，第一波將讓客服、人才招募等作業整合AI。

Google七月底在Next’18大會上表示多種產業，從零售、農業、教育到醫療已經逐步採用AI以導入革命性變化。但是還是有許多企業還難以使用；原因包括需要有專門的人才和硬體、訓練機器學習模型所需的適合的資料量和資料型態、將AI導入現有作業的複雜性。更大原因在於AI不易符合非常專門化的企業需求。

為了讓AI服務切合產業的特殊需求，Google將推出兩種方案。首先是預包裝（pre-packaged）的AI方案，透過和夥伴廠商的合作，這些預包裝的方案已整合了特定產業的專業而且更容易整合到現有企業流程。這些方案除了少部份由Google直接服務客戶外，大部份也將由合作夥伴提供導入服務。第二類AI方案則提供參考架構，供大型企業客戶自建高度客製化的AI工具。此類方案比第一類需要較多開發，但優點是可以開發出更符合公司需求、更整合的AI系統，又比全部自己打造來得快。

首先上陣的包括兩項預包裝AI方案分別為客服中心AI（Contact Center AI），以及用於求職、人才招募的雲端人才方案（Cloud Talent Solution）。客服中心AI方案可簡化傳統客服中心自動語音應答及互動語音應答（IVR）的電話聯繫網（phone tree）的建置複雜性。它能以對話AI技術和客戶寒喧、客戶可以很自然描述他們來電的需求，AI能要求提供對方相關資訊，甚至還能解決簡單的需求，像是查詢帳單金額或如何開車前往公司等。如果AI判定來電超出它的能力，就會轉給客服人員，此時它還能即時提供相關資訊。此外它還能做客服歷史趨勢、或是何種問題的來電最多等分析。Google表示自Next’18宣佈以來已有800家客戶報名試用。

雲端人才方案前身是雲端求職（Cloud Job Discovery）方案，方便求職者以通勤時間及交通方式等條件來篩選工作。而在新版本中則加入了資料側寫搜尋，這項功能目前為測試版本，方便企業從過往求職候選人中篩選出第二波可能的人才。

首個推出的參考架構方案為推薦引擎，方便用於內容網站推薦內容，或是零售網站推薦商品。它只是參考架構，因此用戶必須再撰寫程式將之整合到自家網站。利用這項方案，GCP客戶可運用Google Cloud平台的機器學習技術來改善推薦能力。例如運用Google Analytics 360將大量用戶匿名資料餵入推薦模型，而用Cloud Composer來調合模型，並可設定每小時、每15分鐘或每天更新一次推薦。

新聞

邁向成熟的容器技術，企業資料中心使用的比率也越來越高，而此技術之安全性，也是各方廠商加強補齊的重點。在去年起，Docker就宣布，該公司要讓企業版Docker能符合美國聯邦資訊處理標準FIPS 140-2，將加密功能原生整合至Docker Engine，讓企業用戶或高度監管產業，也能導入容器技術。除軍事機構外，美國政府機構及政府承包商，都得符合美國聯邦資訊處理標準。

而近日Docker又宣布了未來新整合方向，除了Docker Engine外，Docker企業版中其他的元件，也都要符合FIPS 140-2標準，包含私有容器資料庫、容器中控中心，以及Kubernetes調度系統。

在今年釋出的Docker企業版18.03版，為該公司第一個符合FIPS 140-2標準的產品，該公司表示，已經交由美國國家標準與技術研究院（NIST），接受加密模組驗證計畫（Cryptographic Module Validation Program，CMVP）的查驗。

要通過CMVP認證，必須經過4道驗證，分別是待審核、進入審核、協調階段，以及通過審核。目前Docker公司送審的企業級產品，已經進入第3階段。Docker也預計，未來幾個月，Docker引擎就會通過全部認證。

新聞

去年10月時，Google公布了資料中心耗電指標PUE值，達到1.11的高效率。利用了DeepMind機器學習，讓冷卻設備耗電減少了40％。在2016年起，該公司結合了AI技術，開發了自家資料中心專用的推薦系統，改善Google資料中心的能源效率。而近日Google又有新突破，現在無需人力介入該推薦系統，AI可以直接控制資料中心冷卻系統，降低人力維運介入的程度。比較原先的推薦系統，現在由AI主導後，可以直接調整冷卻系統的運作。

Google也進一步解釋當中的運作原理。每隔5分鐘，該系統從當地資料中心內布建的感測器，撈取運作資料，並且匯入神經網路中，預測未來維運工作對能源消耗帶來的影響。評估多種可能組合後，系統會揀選出最佳解，在符合安全限制下，同時又能滿足最小耗能的條件。接著本地資料中心冷卻系統，便自動套用AI設計出的新規則，調整冷卻系統的運作。

為了考量安全性及穩定性，在設計該AI推薦系統時， Google團隊也刻意設下門檻，限定能源使用改善的界線，在風險與節能間，尋找平衡。目前系統上線幾個月，不過已經帶來相當成效，根據Google揭露的數字，套用新AI推薦系統後，能源節省率又再提高了30％。

為提高穩定度，Google也設計了8種機制，確保AI系統正常運作。除了持續監控、自動故障轉移，以及加強雲端AI與實體基礎架構溝通外，Google也有設定兩層認證機制（Two-layer verification），當雲端AI運算出一套最佳解後，會將結果傳送至本地資料中心，接著，本地資料中心會再重新進行驗證。雖然此方法看似多餘，不過Google表示，二層認證機制可以確保維運人員掌控權。再者，本地資料中心維運人員，可以決定何時要終止AI掌控模式。此時，本地系統會脫離雲端AI的控制，掌控權轉移至本地中控系統。

Google資料中心承載該公司許多重要業務，包含Google搜尋、Gmail、YouTube等服務。Google表示，利用AI改善能源效率的出發點，主要希望能改善二氧化碳排放，改善氣候變遷帶來的影響。

Google秀出利用該推薦系統的成效，從2017年9月開始至今年6月，利用AI控制冷卻系統數個月來，資料中心的節能幅度從12％成長至30％。圖片來源：Google

新聞

來自英國資安公司Secarma的研究總監Sam Thomas本月相繼於黑帽（Black Hat）及BSides兩大安全會議上展示了PHP程式語言的反序化（Deserialization）安全漏洞，指出該漏洞影響所有接納使用者資料的PHP應用程式與函式庫，包括WordPress等內容管理系統（CMS）在內，成功的開採將允許遠端程式攻擊。

序列化（Serialization）與反序列化（Deserialization）是所有程式語言都具備的功能，序列化是將物件轉成字串，以將資料遷移至不同的伺服器、服務或應用上，再透過反序列化將字串還原成物件。

資安研究人員Stefan Essar在2009年時就曾揭露於PHP中反序列化駭客所控制資料的風險，而相關漏洞不僅存在於PHP，也存在於其它的程式語言，Thomas公布的是針對PHP的新攻擊技術，可在各種場景中使用，諸如搭配XML External Entity（XEE）漏洞或伺服器端偽造請求（SSFR）漏洞等。

Thomas表示，過去外界認為XXE漏洞帶來的最大問題就是資訊外洩，但現在卻可能引發程式執行。相關的攻擊分為兩階段，先是把一個含有惡意物件的Phar存檔上傳到攻擊目標的本地端文件系統上，繼之觸發一個基於phar://並指涉該物件的文件操作，就能造成惡意程式執行。

Thomas已利用PHP的反序列化程序成功攻陷了WordPress與Typo3內容管理平台，以及Contao所採用的TCPDF函式庫。

新聞

繼美國佛羅里達州的賽米諾爾郡（Seminole County）自今年夏天開放居民以比特幣（Bitcoin）及Bitcoin Cash繳納地價稅與其它稅收之後，上周舊金山聯邦法院的法官Jacqueline Corley要求一名駭客以比特幣或虛擬貨幣支付高達75萬美元的保釋金。

這名現年25歲的義大利駭客Martin Marsich入侵了美商藝電（Electronic Arts，EA）的伺服器，盜走《FIFA 2018》足球遊戲及該遊戲的貨幣包，並在黑市銷售，估計讓EA損失了32.4萬美元。由於Marsich還在受審中，於是法官訂出了高達75萬美元的保釋金，並要求Marsich以加密貨幣支付。

美國的法官有權要求任何形式的保釋金，不管是現金、不動產，或者是現在正流行的加密貨幣。

新聞

Salesforce開源了每天用於執行超過30億次推測的結構化機器學習函式庫TransmogrifAI（發音為trans-mog-ri-phi），TransmogrifAI已經大規模的使用在產品服務上，作為建構人工智慧平臺Einstein的基礎，也幫助Salesforce的資料科學家，為客戶生產客製化模型的時間，可以從數周降至數小時。

儘管在過去十年機器學習已經有了巨大的進步，但建構出機器學習系統仍然不容易，Salesforce Einstein資料據科學資深總監Shubha Nabar提到，企業在為消費者建構機器學習產品時，傾向解決簡單的使用者案例或使用容易取得的資料集，一旦想使用更具多樣性的資料或是案例，則情況就變得複雜有挑戰性。Salesforce的客戶希望機器學習提供的服務，包括可以預測客戶流失、銷售預測、設備故障、特價接受程度，甚至是電子郵件點擊的轉換率，也就是說Salesforce需要為不同客戶建立不同的機器學習模型，才能符合這樣的客戶需求。

訓練全域的機器學習模型對Salesforce來說沒有意義，每個客戶的資料都是獨一無二的，具有不同模式、樣貌以及業務流程造成的偏差，要讓客戶可以真正得到機器學習的幫助，必須針對數千個不同案例，訓練客製化機器學習模型。Shubha Nabar表示，大多數自動化機器學習解決方案，要不是僅專注解決機器學習流程中的一部分，不然就是專為圖形、語音或是自然語言等非結構化同質資料設計，但Salesforce需要的是能夠快速產生大規模異質結構化資料的高效能模型解決方案，於是Salesforce開發了自家的機器學習函式庫TransmogrifAI。

為了要產生可以適用不同客戶的案例的機器學習模型，TransmogrifAI有許多特別的設計。TransmogrifAI是基於Scala和SparkML的函式庫，目標是讓資料科學家只要輸入幾行程式碼，就能執行資料清理、特徵工程或模型選擇等工作，獲得一個高性能的模型，還能進一步探索或是迭代出更好的模型。

SparkML工作管線使用了Transformer的抽象，以及用來轉換TransmogrifAI專用的資料結構DataFrame的Estimator，而TransmogrifAI則建立在這些抽象基礎之上。在TransmogrifAI中，模型的特徵本質就是一個指向DataFrame的類別安全指標，擁有所有訊息，包含名稱、資料類型或是衍生的承襲資訊。

特徵是TransmogrifAI開發人員主要操作的Primitive，操作或是定義特徵像是程式開發使用變數一樣，而特徵可以分享並且重複使用，另外，TransmogrifAI也能讓開發人員可以輕鬆定義複雜的時間序列聚合資料。由於強類別帶來的類別安全，TransmogrifAI可以對整個機器學習流程，進行類別檢查，並盡可能及早抓出錯誤，而非等到運作工作管線一段時間後才發現。類別安全還可以提升機器學習工作流程，每個階段輸入與輸出的透明度，而這項好處可以大大降低訓練模型所需要的知識。

TransmogrifAI除了提供開箱即用的自動Estimator，對於需要更多控制的使用者，TransmogrifAI也具可高度客製化特性與彈性，每個Estimator都能參數化，使用者可以直接設置或是調整參數，另外也可以在機器學習工作管線中，使用自定義的Transformer和Estimator，而為了要加速資料科學家的工作效率，這些自定義的工作都不複雜，Shubha Nabar提到，客製化Transformer就像定義Lambda表示式一樣容易。

TransmogrifAI在Salesforce中大量採用，而且也劇烈改變了內部的工作流程，Shubha Nabar表示，Salesforce的資料科學家可以用最少的手動調整來產出數千種模型，並將這些訓練模型的周期從數周縮短至數小時。

新聞

英國牛津大學的路透新聞研究學院（Reuters Institute for the Study of Journalism）近日發表一研究報告，指出在今年4月與7月，在《歐盟通用資料保護規則》（EU General Data Protection RegulationGeneral Data Protection Regulation，GDPR）上線的前後，歐洲新聞網站上所出現的第三方Cookie數量減少了22%。

Cookie為使用者所造訪網站儲存用戶資訊以改善互動的元件，例如透過Cookie來記錄使用者的登入憑證、或是觀察使用者在網站上的行為或其它偏好等，這稱為第一方Cookie，但若使用者所造訪的網站上出現了第三方元件，諸如廣告或是臉書的「按讚」（Like）功能，這些元件也能在使用者電腦上建立Cookie，以追蹤使用者所造訪的網站，即是所謂的第三方Cookie，通常作為廣告或行銷目的。

路透新聞研究學院調查了芬蘭、法國、德國、義大利、波蘭、西班牙與英國等7個國家的兩百多個新聞網站，並以軟體分析這些新聞網站上的逾1萬個網頁所嵌入的270萬個Cookie。

平均而言這些新聞網頁的第三方Cookie數量少了22%，但每個國家的表現不一，例如德國新聞網頁上的第三方Cookie只減少了6%，但西班牙減少了33%，英國更減少45%。

研究人員分析，有鑑於GDPR要求網站追蹤用戶時必須取得用戶同意，因此這些新聞組織也許只是暫時阻擋某些第三方Cookie，直到使用者接受該站的新條款，未來這些第三方Cookie的數量仍然有機會回到4月的水準；或者GDPR也可能造成大掃除效應，讓這些新聞網站能夠重新評估各種功能的用途，包括會危害使用者隱私的第三方服務在內。

新聞

繪圖晶片龍頭Nvidia上周四（8/16）公布了截至7月29日的2018財年第二季財報，顯示該季營收為31.2億美元，比去年同期成長40%，不過，與加密貨幣相關的GPU在Q2只帶進1,800萬美元的營收，遠不如Nvidia原本所預期的1億美元。

Nvidia的Q2營收有26.56億美元來自GPU業務，佔了總營收的82%，另有4.67億美元屬於Tegra處理器營收。在GPU中，遊戲應用佔了18.05億美元，資料中心佔了7.6億美元，專業視覺佔了2.81億美元，汽車則佔1.61億美元，而包含加密貨幣挖礦在內的OEM與IP類別則佔了1.16億美元。

上述除了OEM與IP類別之外的GPU應用都是成長的，只有OEM與IP的營收從上一季的3.87億美元下滑到1.16億美元。

Nvidia財務長Colette Kress表示，他們曾預期加密貨幣相關產品在Q2可創下1億美元營收，實際上卻只有1,800萬美元，原本以為加密貨幣今年對Nvidia意義重大，但它未來應不會再有貢獻。今年第一季時，挖礦GPU替Nvidia創造了2.89億美元的營收，佔了Nvidia的9%。

新聞

針對9月即將要正式發佈的Chrome 69，Google特別提醒IT人員需要注意的部分。在Chrome 69中，將阻擋第三方軟體對瀏覽器注入程式碼、棄用Flash，為了幫助企業管理員工密碼安全，也新增了密碼警示政策，另外，Chromebook語音輸入將成為一個單獨的輔助功能。

Google為了進一步增加瀏覽器的穩定性，去年12月就公告穩定度措施，從Chrome 69開始，將預設阻擋第三方軟體向Chrome注入程式碼，當企業的軟體需要對瀏覽器程序注入程式碼，需要手動啟用存取權限，使用者可以在新的ThirdPartyBlockingEnabled政策中，設定這些第三方軟體。另外，在2017年，Adobe宣布將在2020年底停止更新和發布Flash撥放器，而Google為計畫性的棄用Flash，從Chrome 69開始，使用者每次重啟瀏覽器後，在存取有Flash內容的網站時，都需要重新授予存取權限。

對於企業來說，可以透過在DefaultPluginsSetting、PluginsAllowedForUrls和PluginsBlockedForUrls政策設定Flash行為，以避免對企業業務產生直接的衝擊。Google提到，這些都是為了計畫性棄用Flash的作法，企業應該盡快尋找Flash的替代方案。

在Chrome 69加入了密碼警示功能，幫助企業控制員工的密碼安全。Google表示，企業這幾年流行使用密碼警示擴充功能以保護Google帳號，因此他們乾脆在Chrome 69中加入這項政策，企業IT可以透過設定來保護Google與非Google的企業帳號。當使用者在危險網站或是非白名單網站輸入密碼時，將收到警告並提醒他們更換密碼，透過防止跨網站重複使用密碼，將可以保護企業帳號的安全。

使用者一直以來都可以透過點擊螢幕無障礙鍵盤或是虛擬鍵盤的麥克風圖示，在Chromebook上進行語音輸入，但Google在收到使用者回饋後，決定將這項功能獨立出來，Chrome 69的語音輸入功能，現在被獨立出來，使用者在啟用該功能後，於Chromebook狀態區域會出現小按鈕，用戶可以單擊按鈕開始進行語音文字輸入。

而且為了減輕使用者的眼睛疲勞以及睡眠品質，Chromebooks使用者現在可以管理裝置顯示的色調，除了可以使用系統預設的建議，調整白天與晚上的顏色配置外，也能客製化定義時間排程與顏色表現。

新聞

微軟發布Visual Studio 2017的15.8版本，這個版本重點放在提升生產力、性能提升與錯誤修復。

Visual Studio 2017現在支援多重插入編輯（Multi-caret Editing），使用者現在可以快速的在檔案的多個位置進行編輯，只要在文件的不同位置放置插入符號或是圈選文字，就能同時在多個位置加入、編輯或是刪除文字。

在CPU使用率工具也有一些改進，現在開發者可以在暫停狀態下，啟動CPU使用率工具，換句話說，只有當明確啟用後，該工具才會開始收集堆疊資料，且收集和分析的資料將比起過去少得多，進而幫助性能診斷的工作更加有效率。在啟用監控目標應用程式後，監控顯示將展示CPU使用圖，並且讓開發者控制CPU分析和樣本資料收集的開關。(來源：微軟)

另外，在效能分析工具中，新增了.NET物件分配追蹤工具（.NET Object Allocation Tracking Tool），啟用這個工具，將能對目標應用程式的每個.NET物件分配進行堆疊追蹤收集。透過分析物件類別和大小等資訊，能夠揭露應用程式使用記憶體的狀況，開發者可以快速的得知程式碼分配模式，並辨識出異常所在。(來源：微軟)

而且對於垃圾回收事件，開發者也可以根據應用程式的記憶體使用，簡單找出要回收以及保留的物件，這個功能對於撰寫API工作來說特別有用，可以幫助最小化資源分配。在開發者測試應用程式時，效能分析器會顯示監控視圖，其中包含物件計數折線圖，以及物件增加比例條狀圖。

其他的重要更新還有，在15.8版本中，使用者可以快速的在Git分支之間切換，因為已經不再需要重新載入解決方案，尤其在切換C#、VB和C++大型專案的速度將快很多。而在這個版本預設支援TypeScript 3.0，也改進了Vue.js函式庫支援。

新聞

即將在9月釋出的下一版Windows更新（代號Redstone 5），已經捨棄之前版本的命名法，而正式名稱為1809。

上周五微軟針對Insider開發人員釋出Redstone 5最新測試預覽版Build 17741。它並未包含什麼重大新功能，但Neowin發現，這個版本的安裝對話框透露了下一代Windows更新正式名稱為1809，也預告了重大更新即將完成開發。

在此之前，微軟的Windows 10重大更新版名稱，像是Creators Update、Fall Creators Update或今年三月的April Update，有可能造成使用上的混淆。結合年份及月份的命名法更為簡單明瞭與容易管理。

不過Neowin認為，1809中的九月是指釋出給Insider計畫開發人員的時程，最終版推出時間應該會在十月。

此外，本月稍早微軟也針對參加Skip Ahead測試計畫的開發人員釋出明年Windows更新的預覽版，代號也首次捨棄Redstone的命名法，代號僅剩下191H。媒體猜測，如果沿用1809的命名法，那下一代更新可能叫稱1903。

新功能方面，Build 17741主要新功能之一為Phone app，只要開啟Phone app按照指示設定，就可以從Windows 10 PC存取Android 7.0以上的手機等內容，而不再需要把檔案寄給自己，或以USB隨身碟來傳輸資料。

新聞

美國喬治亞理工學院的安全研究人員近日揭露了OpenSSL的旁路攻擊漏洞，可利用軟體無線電裝置來攔截手機的電磁訊號並汲取出金鑰。

OpenSSL為加密通訊協定SSL與TLS的開源版，能夠防止竊聽，也能用以確認另一方的身分，已被廣泛地應用在網站伺服器上。

至於研究人員揭露的旁路攻擊則可自運作中的裝置攔截其電子活動所產生的各種訊號，這些訊號包括來自裝置運算與供電電流的電磁輻射、功耗的變化，以及聲音、溫度與機殼的潛在變化，但這些訊號與裝置的通訊訊號極為不同，因此可清楚辨識。

研究人員實驗了兩台Android手機與一個嵌入式系統版，它們全都採用時脈介於800 MHz到1.1 GHz的ARM處理器，相關的訊號可透過40 MHz頻段傳遞，而諸如Ettus B200-mini等商用的軟體無線電就能捕獲這些訊號，且售價不到1,000美元，把軟體無線電放置在上述裝置附近時，成功擷取2048 bits之RSA私鑰的機率達95%以上。

有別於舊式的訊號攔截方式必須分析許多次的登錄，新的攻擊手法只需要竊聽單次的解密循環，使得研究人員將它稱為One & Done攻擊，也相信它是首個不依賴快取組織或時序就能自新版OpenSSL汲取金鑰的旁路攻擊。

研究人員指出，由於軟體無線電的體積很小，因此很容易在咖啡廳或機場使用，也能藉由藏匿在桌下或家具的天線接收訊號。

One & Done攻擊使用的是OpenSSL 1.1.0g版，OpenSSL團隊已於今年5月修補該漏洞。

新聞

有網友在Reddit論壇指出，華為埃及（Huawei Mobile Egypt）在數天前為廣告新手機Nova 3i及其前置鏡頭優秀的功能，發布了宣傳影片，其中的女主角在Instagram上傳幕後照片，眼尖的網友發現，影片中的相片根本不是用華為的手機拍攝，而是由專業攝影用的DSLR拍攝。華為解釋，雖然是手機廣告，但是影片中並沒有聲稱相片是由Nova 3i拍攝。

廣告影片：

華為Nova 3i廣告中有一幕是一對爭吵的夫妻一起自拍，用以展示華為的人工智慧相機技術，可以自動為人像美顏，如此便不再需要化妝。但是該名女演員Sarah Elshamy在自己的Instagram上，發布了一張當天拍攝廣告的幕後照片，被網友發現跟廣告中的場景相同，但是照片卻並非由男主角手持的華為Nova 3i手機拍攝，而是由專業攝影師以單眼相機拍攝，而事實上現場場景並沒有出現任何華為Nova 3i手機。Sarah Elshamy發布的照片隨後便遭到刪除。

雖然整體廣告暗示著影片中照片由Nova 3i拍攝，但華為辯稱，儘管這則廣告為宣傳新手機Nova 3i，但是廣告中並沒有任何字樣或是話語宣稱照片是以Nova 3i拍攝。這也不是華為第一次發生類似的事件，在2016年時，華為在Google+上貼出用P9智慧型手機拍攝的樣本照片，但網友從該張照片的EXIF中發現，照片其實來自於佳能5D Mark III DSLR以及一顆價值2,100美元的鏡頭。

網友在Reddit論壇上的該篇貼文下方熱烈討論，不少人對華為在廣告上用了這樣的手法並不意外，畢竟並不是第一次被發現，但也有網友提出質疑，假設Google或是Apple也發生一樣的事，是不是也會受到相同程度的批評，另外，有網友提到這是慣用廣告手法，並舉例Nokia的Lumia 920廣告影片，其影片的1分07秒反射影像直接映出了拍攝設備。

Lumia 920：

新聞

為了強化Kubernetes引擎的安全性，Google引入了二進位授權，讓使用者可以確保只有受信任的工作負載才可以部署到Kubernetes引擎中。二進位授權是一個整合到Kubernetes引擎部署API的安全性功能，提供使用者策略性的控制手段，讓只有或完整簽章或是授權的映像檔在環境中運作。

Google提到，基於身分的部署控制仰賴人類的操作知識與信任，在容器微服務爆發的現在，特別是在企業自動化建置與發布的基礎架構，數十個團隊每天部署數百次的規模下，已經不敷使用。容器化的工作負載一般來說並不鼓勵直接修改正在運作的軟體，應該使用持續整合和持續部署（CI/CD），把改變應用到整個容器中，而這允許使用者定義精簡的測試與驗證，確保只部署受信任的程式碼。

但即使是這種基於身分的部署控制，內部人員仍可能繞過CI/CD的控制，惡意或是不小心部署了不受信任的程式碼，例如開發者可能意外地部署測試用程式到生產環境中，或是想要偷懶的員工，可能會繞過測試或整合驗證程序，另外，也很有可能惡意的在軟體建置過程中植入了挖礦程式。而Google新釋出的這個二進位授權可以填補以上的安全漏洞。

二進位授權是Google內部用來保護生產部署的技術，已經使用了將近十年。二進位授權僅運行受信任的程式碼來建立預防性安全狀態，從程式碼開發到生產，採用單一結構化路徑簡化治理，並使用開源軟體來維持CI/CD工具的可插拔性與互通性。

透過將企業部署要求整合到CI/CD各階段，映像檔通過這些階段時便會取得該階段簽章，當映像檔取得所有階段的簽章則獲得部署授權，否則二進位授權會阻擋不符合標準的映像檔。在Kubernetes引擎中，是使用ImagePolicy授權控制器來實做，並以容器分析API（Container Analysis API）來驗證這些映像檔上的簽章。二進位授權也與Cloud Audit Logging整合，紀錄Pod失敗創建供日後調閱。

除了基於簽章的驗證外，二進位授權也支援使用名稱模式的白名單映像檔，使用者可以透過路徑指定特定的程式碼儲存庫，或是一系列允許部署的映像檔。Google認為，這是另一個好選擇，企業不只可以快速開始限制生產部署，還能控制那些未遵循內部工作流程的第三方映像檔。

二進位授權使用標準加密PGP簽章，而這將允許使用者輕易的整合CI/CD工具鏈，包括建置、測試與漏洞搜尋等各階段。當然，除了使用者可以客製化整合外，二進位授權也提供了開箱即用的服務，用戶可以直接使用Google或是合作夥伴開發的CI/CD和安全工具。

Google提到，使用者也可以自行實作二進位授權，只要使用開源專案Grafeas自訂策略，並根據要求允許或是阻止Pod的創建。作為二進位授權測試版發布的一部分，Google更新了開源政策引擎Kritis，Kritis能使用授權控制器在任何Kubernetes部署中，強制遵循Pod創建政策。而Kritis與開源元資料伺服器Grafeas整合，就可以在Google Kubernetes引擎部署中，使用容器註冊表容器分析API和二進位授權，如此一來，使用者可以在自家機房中，使用開源軟體建立一致的控制流程。

新聞

斯圓安全（SYON Security）本周對外展示了一個以USB充電線當作攻擊媒介的USBHarpoon裝置，在連上電腦之後，它能變身為人機介面，可輸入必要的快捷鍵並擊鍵，以在電腦上植入惡意程式。

率先提出類似攻擊的是德國資安業者SRLabs，該公司在2014年就曾說明駭客只要變更可程式化的USB控制晶片，即可將各種USB裝置變成邪惡裝置（BadUSB），例如讓它模擬鍵盤以輸入命令，或是偽裝成網路卡來竄改電腦的DNS設定，以及讓惡意的隨身碟與外接硬碟在開機時就能植入惡意程式。

斯圓安全的作法即是基於SRLabs的研究，把一條充電線變成人機介面（HID），得以模擬鍵盤或滑鼠，還能擊鍵，以便於電腦上植入惡意程式。

斯圓安全創辦人姚旻言（Vincent Yiu）表示，USBHarpoon裝置可以有很多種形式，從充電線、開會用的投影裝置（Dongle）到USB風扇等。

由於USB充電線可說是最普遍的USB裝置，因此，除了斯圓安全之外，還有其他研究人員也在研究將USB充電線變成BadUSB，但姚旻言說，目前只有他們的研究成果能讓USB充電線可同時具備充電與HID的能力，其它的研究在將USB充電線變成BadUSB之後，也會讓它的充電功能失效。

攻擊示範影片：

新聞

繼去年Docker推出Moby專案、LinuxKit，替社群及企業畫上一條明確界線。此舉引起開源社群不滿，認為該公司收割社群結晶，將專案商業化。而近日Docker又傳出新公關危機，現在該公司不再提供URL連接下載桌面版Docker，開發者必須先登入Docker Store，才能下載。此舉引起開發者高度不滿，現在該消息在知名論壇Hacker News上也討論得沸沸揚揚。

此事的引爆點，來自開發者在GitHub回報Docker出現的Issue討論區。GitHub代號sonicdoe的開發者反映，下載Mac、Windows版Docker前，必須先登入Docker Store。而他表示，過去可以直接透過URL連結下載，不需要多這道麻煩的手續，期望Docker公司可以復原先前的做法。

來自Docker公司的維護者Joao Fernandes也隨即回覆。他表示，此設計看似多此一舉，「不過我們之所以進行變更，原因是希望可以提高Mac、Windows版Docker用戶的使用者體驗。」

而Docker在GitHub上的回應，馬上引起社群的不滿。許多開發者紛紛跳出，表示Docker的做法非常愚蠢，逼的社群得尋找其他解決方案。部分開發者表示，即便甲骨文，該公司也提供不用登入就能下載的管道，讓使用者可以取得社群版MySQL。

新聞

中國互聯網絡信息中心（CNNIC）於周一（8/20）公布了中國截至今年6月底的網路發展狀況，指出中國的網路人口已達到8.02億，普及率為57.7%，當中有98.3%的網路用戶會以手機上網。

除了以手機上網之外，也有48.9%的中國網友是以桌機及筆電上網，另有29.7%透過電視上網。

在網路應用上，即時通訊為當地最熱門的服務，有7.56億人使用即時通訊服務，佔整體網路用戶的94.3%，由QQ及微信主導；也有82.7%的網路用戶閱讀網路新聞；總計有5.69億人使用網路購物，佔網路人口的71%，以手機進行網路購物的人口則有5.57億。

在中國特別發達的還有網路支付、網路外賣及網路叫車服務。有71%的網友使用網路支付，兩大業者為微信支付及支付寶；45%的網友會透過網路叫外賣，龍頭業者為「美團外賣」及「餓了嗎」；還有43.1%的網友使用網路叫車服務，該市場競爭激烈，主要業者包括滴滴、神州、首汽、攜程、高德及美團。

此外，儘管中國已經在去年禁止了境內的首次代幣發行（ICO）活動與加密貨幣的交易，但卻積極發展加密貨幣所使用的區塊鏈技術，根據世界知識產權組織的數據，去年全球有關區塊鏈的406個專利申請中，有225個來自中國，且截至今年3月，中國以區塊鏈為主要業務的企業數量已達456家。

新聞

從2016年開始，IBM與VMware宣布策略聯盟，將VMware私有雲解決方案，搬上IBM公有雲上執行。而近日雙方合作的混合雲解決方案IBM Cloud for VMware又有新進展，現在已經邁入了2.5版。

IBM表示，這次釋出的2.5版，整合了伺服器管理軟體VMware vCenter Server（VCS），以及統一軟體定義資料中心平臺VMware Cloud Foundation（VCF）。

這一次功能面總共有三方面加強。第一層面是加強雲端服務與私有網路的整合，現在IBM CloudBuilder、IBM CloudDriver都不用直接與公網連接。而這兩個元件所負責的任務，包含了初始組態設定、新增叢集、主機等。不過，IBM表示，部分軟體服務仍然需要與公網連接，像是遠端複製軟體Zerto Virtual Replication、VMware混合雲延伸套件HCX。

第二層面則是加強使用者存取控制機制。現在IBM公有雲用戶，可以利用該公司原生的身份存取管理機制（Identity and Access Management ，IAM），存取部署在公有雲上的VMware實例。現在新部署的虛擬機實例，已經直接內建這項功能。

最後則是，IBM開始整合自家的IBM Spectrum Protect Plus服務，使用虛擬機快照，可以滿足企業資料復原的需求。現在該服務已經可以支援120TB的備份容量。

新聞

美國總統川普（Donald Trump）正式簽屬美國商務部國家標準與技術研究所（NIST）中小企業網路安全法案（Small Business Cybersecurity Act），要求NIST向中小企業提供網路安全所需要的資源。

NIST中小企業網路安全法案最初在2017年4月，由眾議院起草提出，而後被併入美國聯邦法律S.770，要求NIST在該法案通過一年內，為中小企業發布防範網路攻擊指南，提供幫助辨識、評估和降低網路安全風險的一系列資源，這些資源除了指南，還包括工具、最佳實踐、標準以及方法等。

而S.770還要求NIST在訂定這些建議作法時，需要考量中小企業的需求，重點要求像是建議必須要能廣泛適用，並且維持技術中立，讓中小企業可以使用基於國際標準的現成商業解決方案來實施，另外，還要提供可執行的元素，透過促進簡單意識和基本控制，來培養企業網路安全的文化，在達成這些目的同時，還要兼顧股東利益。

這項法律在川普簽署前，在參議院一致通過，這個法律特別之處在於，具體的描述NIST向中小企業提供資訊的方法，以及提供資訊的種類，其規定資訊必須在NIST的網站上隨時保持更新，甚至還規範資訊必須要具一致性並且清楚簡潔。

NIST被要求完成許多工作，並且其建議要在中小企業可以負荷的情況下進行，不過，在過去NIST發出的安全指南中，其採用的工具或是方法都超出一般中小企業可負擔的範圍，更別說要小型企業聘請全職的網路安全團隊開發內部安全工具。

由於國會認為中小企業的網路易受駭客攻擊，因此催生了這個法案，但是外界仍在觀察這個法案產生的後續效應，因為該法案並沒有分配預算，即便這個法案要執行的工作看似很龐大，但是NIST需要使用和過去一樣的資源，完成這些任務，後續執行的情況值得觀察。

新聞

由金管會主導，台灣金融服務業聯合總會負責推動的金融科技創新園區FinTechSpace，預計將於今年9月18日正式開幕，園區地點座落在臺北市南海路1號仰德大樓13樓。首波合作夥伴已有30家，囊括國內外產、官、學、研、創等單位，共8家金融機構、11家非金融機構、11家國際機構，集結了金融產業、雲端技術、創新實證及國際資源交換的資源挹注，要共同打造金融科技創新發展環境。

為了擴大新創與金融機構合作的機會，金融科技創新園區鼓勵金融、科技大型機構設立金融科技企業實驗室，第一波已有中國信託金控、星展銀行、上海商業儲蓄銀行與悠遊卡公司，參與設立實驗室，在園區中與金融科技新創、校園創新人才交流。

金融科技創新園區也設有數位沙盒（Digital Sandbox），並以智能理財、物聯網創新金融兩大主題為主。其中，雲端平臺環境由亞馬遜AWS提供，包括數位沙盒雲端服務、資安防護等雲端資源。金融開放API合作夥伴包括臺灣證券交易所、臺灣期貨交易所、臺灣集中保管結算所、證券櫃檯買賣中心、財金公司、上海商業儲蓄銀行、中國信託金控、凱基銀行、時報資訊。科技類型開放API，也有臺灣微軟提供區塊鏈雲端及顧問服務。

在國際合作上也有不少資源挹注，美國在臺協會商務處、英國在臺辦事處、澳洲辦事處商務處、全球金融科技最大新創加速器Startupbootcamp、新加坡金融科技協會、新加坡金融科技共創空間80RR、澳洲的區塊鏈產業推展協會、美國矽谷共創空間Casa Hacker等國際機構，將扮演國際新創推薦、實體進駐空間交換、輔導資源交換等角色。

而政治大學金融科技研究中心、成功大學金融創新與投資研究中心、臺灣科技大學、中山大學、高雄科技大學、科技部青年科技創業基地（Taiwan Tech Arena）、中華民國創業投資商業同業公會、台灣天使投資協會、財團法人中華民國會計研究發展基金會等單位，都是首波加入共創聯盟的單位，將致力於國內新創育成、投資與校園創新，透過整合各界資源，聚焦金融科技專業輔導，例如會計、新創社群法規、業務、營運、風控、投資或創業諮商等，協助新創團隊與國際市場對接。

GCP推出首個AI預包裝服務，首波鎖定企業客服、徵才

Docker加強支援美國聯邦資訊處理標準FIPS 140-2，要讓政府、高度監管產業也能用企業版Docker

不需人力介入冷卻系統，Google資料中心靠AI加強能源使用效率

研究人員再揭PHP反序列化安全漏洞，恐使WordPress曝露遠端程式攻擊風險

美國法官要求駭客以比特幣支付保釋金

Salesforce開源支援每日30億次推測的ML函式庫，訓練一個模型只要數小時

在GDPR上線之後，歐洲新聞網站的第三方Cookie數量減少了22%

Nvidia財報出爐：加密貨幣採礦熱潮結束了!

Chrome Enterprise 69預設停用Flash，還將禁止第三方程式碼注入

Visual Studio 2017 15.8正式版出爐，強化分析應用程式能力

代號Redstone5的下一版Windows更新名稱可能叫1809

OpenSSL存在旁路攻擊漏洞，光靠攔截手機電磁訊號就能取得金鑰

華為手機廣告被網友抓包以DSLR假冒手機照片

Google釋出Kubernetes引擎二進位授權，強制映像檔經完整CI/CD才能部署

邪惡USB又出現了，只要一條USB充電線就能在PC上植入惡意程式

只能在軟體商店才能下載，Docker新作法引起開發者不滿

中國網路人口突破8億人，手機上網佔98.3%

IBM Cloud for VMware釋出2.5版，加強使用者存取控制

美國政府要為中小企業提供適合的網路安全建議及資源

臺灣首座金融科技創新園區FinTechSpace，9月中旬將正式開幕