在7月，iThome製作了「臺灣臉部辨識技術力」的封面故事，相隔一個月的此刻，我們再繼續探討這項技術的臺灣企業應用實例。不過，最近這段時間以來，臉部辨識相關的爭議不斷。

例如，香港反對送中條例的行動已經持續兩個月之久，警方運用臉部辨識來確認示威者身分，民眾起初也透過這項技術來找出發動襲擊的匿名警員，後來也使用雷射筆來干擾畫面擷取；而在中國，今年稍早傳出政府運用人臉辨識技術，大規模監控維吾爾族，去年開始受到全球熱議的社會信用系統，人臉辨識技術的採用也是箇中關鍵。

關於這類監控與辨識技術，會對民眾的工作和生活直接產生危害嗎？在上述的應用實例當中，飽受爭議的部分是使用者的心態，因為雖然打著法治、維護國家社會秩序的旗幟，實際上，卻有危害民主、自由、人權的疑慮，這將導致臉部辨識成為政府脅迫異議人士的凶器。相反地，若在運用這類技術的同時，可以充分考量到個人隱私的保護和尊重，僅就各自需要針對的用途來提供有限度的功能，避免濫權，或許就能讓社會大眾更安心地接受，而認同相關的服務。

其實，不只是生物辨識的技術有隱私上的爭議，在香港民眾的抗議行動中，就連使用「八達通」儲值卡搭車也有疑慮，因為群眾擔心這些數位化的乘車記錄軌跡，或許會遭到當局濫用，所以，寧可改用現金。

享有極高的便利性是每個人都想要獲得的好處，卻不能不考慮背後的代價，尤其是在時局改變之際，如果我們有一天無法信任體制能夠確保人民的自由，這種「過度授權」可能會演變成令大眾不安的態勢。

關於科技可能遭到濫用的危機，我們也詢問發展人臉辨識應用產品的廠商，他們其實更常面對這樣的質疑，因此，也提出一些說法來回應，簡而言之，在相關資料的保存和使用上，會更為謹慎，若員工無法接受這類系統的辨識，有的廠商也願意提供其他身分驗證的方式和程序來搭配。

因為企業如果想要採用這類解決方案，也必須準備一套完整的論述和配套措施，與員工充分溝通和協商，使其能夠信任這樣的系統，對於無法接受的人，若能提供其他方法來達到相同目的，也能展現公司對員工的尊重，而不是硬性強制實施，企圖透過粗暴的手段畢其功於一役，甚至還抱著科技終能征服人性的荒謬心態。

面對科技與人性的衝突，採取以人為本的態度來推行各種便民的措施，才是長久之道，國家、城市、企業、團體，都是由不同的人所構成的，如何能夠求同、存異，又要能夠兼顧效率與生產力，固然是艱難又複雜的工作，但若能經歷充分溝通與尊重的過程，取得共識，並且促進彼此的團結和認同，這樣的社會才是健全而有自信的，技術的採用是一時，是推動進步的一種手段，並非社會發展的終極目標，但人與人之間的信任卻是需要長久培養的。

TechRepublic於本周報導，近日有許多Surface Pro 6用戶抱怨，他們的筆電處理器被降速到400 MHz，微軟則已證實此事並準備透過韌體更新來解決。

在正常的情況下，Surface Pro 6的處理器時脈為1.9GHz，降至400 MHz很難不被察覺。根據媒體的推測，這是由英特爾CPU的BD PROCHOT狀態所造成。BD PROCHOT為雙向處理器熱度的簡寫，可由周邊裝置驅動，一旦連結CPU的周邊裝置過熱，就會要求CPU降速以降低系統溫度。

微軟向TechRepublic表示，該公司已得知許多Surface Book裝置的CPU速度變慢，並打算透過韌體更新來解決。

其實Reddit上出現的是Surface Pro 6用戶的抱怨，但微軟的回應則是Surface Book，使得外界懷疑不管是Surface Pro 6或Surface Book都受到相關問題的影響。

TechRepublic則說Surface Pro 6用戶的抱怨是自微軟於8月1日更新韌體後才增多，而Surface Book的韌體則是在7月31日更新。

其實Surface裝置已多次遭遇類似問題，用戶已自行找到許多解決方案，包括移除Surface的電源線，重新開機後再接上，或者是安裝可避免CPU效能被箝制的ThrottleStop工具程式。

Google宣布一項Google Assistant的新功能，能夠要求Google Assistant提醒親友該做的事，有人認為這是項非常有用的功能，但也有評論指出該功能可能很快就會惹惱周邊親友。

舉例來說，使用者只要向Google Assistant說出「Hey Google，提醒Gerg晚上8點要倒垃圾。」Gerg馬上就會在啟用Google Assistant的手機、喇叭及Smart Display上收到通知，並在時間到的時候再提醒Gerg。

它有很多使用情境，例如提醒小孩吃早餐，提醒室友買牛奶回家，或是提醒另一半記得遛狗等等。也能根據對方的位置跳出提醒，例如要求Assistant提醒Claire到了舊金山渡輪大廈時要去買花，等到Claire到達渡輪大廈時，就會在Claire的手機上跳出提醒。

不過，此一提醒功能是有對象限制的，可提醒的對象必須位於家人群組中，或是連結同一Smart Display或聲控喇叭的帳號，而且都需被列入使用者的Google通訊錄上。

要是覺得不斷被提醒很煩，也能透過Assistant的設定功能來拒絕任何人傳送提醒給你。

該功能預計會在未來幾周部署至支援Google Assistant的手機、喇叭及Smart Display上，也會在今年秋天支援Google Nest Hub Max，但目前僅有英文版，也只在美國、英國及澳洲市場推出。

AWS為EC2增加了診斷中斷（Diagnostic Interrupt）API，當EC2實例失去回應的時候，用戶就能使用這個API，遠端觸發核心錯誤（Kernel Panic），並視作業系統的設定，進行記憶體傾印與重新啟動等動作。

系統管理員在為沒有回應的伺服器除錯時，有時候必須實體按下非可封鎖中斷（non-maskable interrupt，NMI）按鈕，或是透過序列介面向命令控制器發送訊號，以觸發系統傾印核心狀態到檔案中，這個核心轉儲（Core Dump）的檔案會包含崩潰程序的記憶體映像檔、程式計數器以及系統暫存器等資訊，供系統管理員找出核心失去回應的原因。

而現在AWS為EC2增加了能讓使用者遠端觸發核心錯誤的API，EC2:SendDiagnosticInterrupt API會發送類似按下實體NMI按鈕的診斷中斷訊號到EC2實例上，並讓實例管理程式對作業系統發送NMI命令。當作業系統收到NMI中斷後，根據作業系統的配置執行動作，一般會產生核心轉儲資料檔案，並接著重載核心或是重新啟動系統。

AWS提到，用戶使用這個觸發核心錯誤API，總共有三個步驟，分別是配置作業系統、觸發核心錯誤，接著就能分析傾印的內容。在作業系統配置方面，EC2中的Windows Server AMI已經預設啟用記憶體傾印功能，且會在儲存完核心轉儲之後自動重新啟動。而Amazon Linux 2的用戶，則必須要自己安裝傾印工具，進行一次性設置，設定包括保留給核心轉儲的記憶體大小，以及收到中斷時觸發核心錯誤等。

當配置完成，用戶就能夠透過AWS CLI或是SDK，使用這個API觸發核心錯誤，系統會在傾印記憶體之後自動重新啟動系統，CLI並不會收到任何回傳值，AWS表示，這是正常的現象，而當實例重新啟動之後，用戶可以在/var/crash找到傾印的崩潰資料。最後，用戶就能夠分析傾印資料，在Linux上，用戶必須額外安裝分析核心轉儲用的公用程式。

AWS用戶可以在IAM政策中，設定組織中有權限傳送診斷中斷的成員。目前這個API已經在所有公共AWS區域開放使用

微軟正式推出Azure Ultra Disk Storage儲存服務，這是專為I/O密集和高交易量的任務設計，能在高工作負載下，仍維持亞毫秒延遲以及一致的效能。Ultra Disk Storage讓用戶能夠將關鍵企業應用部署到雲端，包括SAP HANA，以及Oracle DB、PostgreSQL和MongoDB等其他資料庫服務。

在去年的Ignite大會上，微軟首次揭露Ultra Disk Storage的消息，而這是第4款Azure上託管磁碟服務，其他還有高階SSD、標準SSD以及標準HDD。其作為微軟下一代分散式模塊儲存，為Azure IaaS虛擬機器和容器提供儲存服務，可在維持一定的效能之下，提供耐久性儲存。

Ultra Disk Storage提供最小4 GiB到最大64 TiB的容量選擇，每GiB最多可支援300 IOPS，每個磁碟能提供最高160K IOPS，而每個磁碟吞吐量每秒最高達2,000 MB。Ultra Disk Storage的亮點之一，就是能夠讓用戶不需要分離磁碟，或是重新啟動虛擬機器，就能動態的調整磁碟效能，根據工作負載調整IOPS或吞吐量，動態配置會在一個小時以內生效。

微軟提到，由於Ultra Disk Storage不使用Azure Blob儲存快取，因此也只提供非快取的讀寫服務。

Ultra Disk Storage能夠提供低延遲服務的原因之一，便是使用稱為虛擬磁碟客戶端的精簡化客戶端，該客戶端能夠直接與儲存伺服器通訊，繞過負載平衡器和初始連結的前端伺服器，微軟解釋，這種簡化可以最大程度減少讀取和寫入操作所需要經過的層級，進而減少延遲，並提供和企業級快閃磁碟陣列相當的效能。

在耐久性方面，Ultra Disk Storage使用LRS（Locally Redundant Storage）技術，在同一個區域中，儲存三份資料副本，任何應用程式寫入資料，只有當資料永久複製到LRS系統中，才會收到確認訊息。目前Ultra Disk Storage服務上線的Azure區域，有East US 2、North Europe以及Southeast Asia。

React團隊為開發者釋出了新版React開發者工具DevTools 4.0，現在已經在Chrome、Firefox和以Chromium為基礎的Edge上，以擴充套件的形式發布。新版DevTools獲得大幅效能改善以及更好的瀏覽的體驗，並完全支援React Hooks。

官方提到，過去由於DevTools的效能低落，無法用於許多大型React應用程式的除錯，而這個問題在第4版獲得好的改進。而對於React Hooks的支援，現在開發者可以像操作屬性和狀態一樣，直接編輯Hooks的值，而陣列和元件也能展開更深入查看。

元件樹的瀏覽功能在DevTools 4.0有許多改善，現在DevTools提供元件過濾器（下圖），讓開發者可以隱藏不想關注的元件，讓開發者瀏覽大型元件樹變得容易些。而現在元件樹也不會顯示行內屬性（Inline Props），開發者可以透過選擇元件，以進一步瀏覽屬性、狀態和Hooks，而這同樣也有助於提升大型元件樹瀏覽體驗。

DevTools 4.0還有一個簡單但是實用的改進（下圖），便是當用戶在瀏覽極深巢狀元件的時候，DevTools現在會自動處理縮排瀏覽，在視窗往下捲動的同時，可視區域會自動往右移動，開發者不再需要手動調整水平捲動，否則用戶同時要垂直捲動，又要水平捲動視窗，常會迷失在大型元件樹中。

研究人員揭露藍牙標準一項安全漏洞，可降低藍牙裝置加密強度，進而使駭客得以駭入，藉此竊取資料、竄改通訊內容。

這項漏洞是由新加坡科技設計大學、劍橋大學及IT安全、隱私與責任中心（CISPA）研究人員共同發現，並在USENIX Security Symposium上發表。KNOB漏洞編號為CVE-2019-9506，與Bluetooth BR/EDR連線加密有關。當兩台藍牙裝置建立連線時，會經由金鑰協商過程產生一把加密金鑰。研究人員發現，遠端攻擊者可在不知兩台裝置連線或金鑰情況下，干擾這個建立BR/EDR連線加密的程序，來降低金鑰的長度或熵值（entropy）。

因為不是所有藍牙規格都要求加密金鑰的最低長度，有些藍牙產品的金鑰熵值甚至可被降到1 octet（或1 byte），方便攻擊者以暴力破解攻擊破解加密，進而利用一台裝置攔截、改造連線流量，達到解密通訊、竄改內容的目的。某些情況下，即使藍牙規格有要求金鑰最低長度，但仍有些產品並未驗證藍牙金鑰是否滿足長度要求。研究團隊將之稱為「Key Negotiation of Bluetooth」（KNOB）漏洞。

研究人員指出，由於此類攻擊符合Bluetooth BR/EDR標準要求（密鑰熵值在1-16 bytes之間），因此攻擊行動不會被發現。研究人員針對市面上24款藍牙晶片進行測試，結果發現有17款傳統藍牙晶片，如英特爾、博通、Chicony甚至蘋果的產品受本漏洞影響。但是Bluetooth Low Energy則不受波及。

藍牙技術聯盟（Bluetooth SIG）也證實這項漏洞，但聯盟認為攻擊並不是那麼容易。理由是，若要能攔截藍牙BR/EDR連線，攻擊裝置需要位於這兩台裝置的無線訊號範圍內。而且如果其中任何一台裝置沒有漏洞，攻擊就不會成功。此外，攻擊者要在很短的時間內，攔截、改造流量，重新傳送金鑰協商（nego）的訊息，還要阻撓兩台裝置的訊息傳輸，才能縮短加密金鑰長度。此外，他還要發動暴力破解攻擊。即使這次成功了，以後的攻擊還是得全部再來一遍，因為每次連線都會再協商產生一把加密金鑰。本漏洞的CVSS v3.0 Base Score為7.8分，屬於高度（High）風險。

Bluetooth SIG說，沒有跡象顯示本漏洞已遭惡意開採，也沒有發現有任何裝置被實作成攻擊工具。但Bluetooth SIG仍然更新了藍牙核心規格，建議Bluetooth BR/EDR連線的加密金鑰長度要在7 octet以上。此外，本小組未來也會在藍牙測試計畫中加入測試要求，也建議硬體製造商依此拉高產品安全性。

美國德州的資訊資源部（Department of Information Resources，DIR）在上周六（8月17日）指出，8月16日早上有超過20個德州政府機構遭到勒索軟體攻擊，確定受到影響的就有23個，且證據顯示相關攻擊是來自於同一個駭客或集團。

由於事出突然，DIR並未公布更多的細節，但說已有許多部門正在支援此一意外事件，除了DIR之外，還包括德州的緊急管理部、軍事部、公共安全部，以及層級更高的國土安全部、聯邦調查局、聯邦緊急管理局，以及其它聯邦網路安全機構等。

美國媒體將此一攻擊形容為「協同勒索軟體攻擊」（Coordinated Ransomware Attack），顯示它是一個經過精心策畫與執行的攻擊行動，幾乎是在同一時間攻擊許多德州的小型政府機構。

根據ZDNet的報導，大規模襲擊德州的勒索軟體是藉由木馬程式Nemucod進行感染，它將系統上的檔案加密成.JSE檔案，目前尚不確定該勒索軟體的名稱，且未隨附勒索訊息，使得許多遭到攻擊的機構一時之間完全不知道發生了什麼事。

Nemucod通常利用垃圾郵件進行感染，在郵件的ZIP附加檔案中嵌入一個JavaScript檔案，一旦開啟就會成為下載其它惡意程式的通道，被用來遞送各種勒索軟體。Nemucod早在2015年就被發現，而以.JSE作為加密檔案副檔案的勒索軟體，則一直到今年8月才現身。

目前不管是德州政府官網、DIR，或是德州緊急管理部的網站都已無法連結。

擁有Chrome瀏覽器的Google最近提案將HTTPS加密的SSL憑證效期，由現行的27個月縮短為13個月。

Google是在6月於希臘舉行的CA/B Forum的F2F會議上提案從2020年3月1日起，將SSL憑證效期由現在的825天縮減為397天，並將交付大會表決。

CA/B Forum是憑證機構（CA）與瀏覽器業者、軟體公司參加的業界論壇，其憑證政策Section 6.3.2規定訂閱憑證的效期。過去10年來，瀏覽器業者已經將SSL憑證效期由最早的8年、砍成5年、39個月，去年3月再縮減到現行的27個月效期。

憑證業者對此很不滿，例如DigiCert代表Timothy Hollebeek認為，此舉將增加客戶憑證更新的頻率，徒增成本及作業負擔。他並指出，即使是為了安全理由，例如防止惡意或釣魚網站，這種作法也不合理，因為釣魚網站存在期間十分短，大約1、2個星期而已，等網站過濾業者將其加入黑名單，惡意網站早就轉移陣地。

不過安全研究人員Scott Helme聲稱，縮短SSL效期的最終目的並不是惡意網站，而是不具保護力的憑證本身。例如2015年發生過賽門鐵克誤發了上百個Google.com的延伸驗證（EV）憑證，令惡意網站可能冒充Google網域下的合法網站。他指出，有些不良憑證即使被註銷了還能使用，縮減效期即可解決類似問題。

市場上最大憑證機構Sectigo（原名Comodo）則強調自家憑證可以自動化更新。該公司認為，即使表決不通過，瀏覽器業者也握有絕對權力，可片面強制實行其決策。例如Google、微軟、蘋果及Mozilla近年就是以不安全為由，決定取消其瀏覽器對SHA-1憑證的支援。

臺北市政府發展智慧城市再進一步，今天和三家民間業者聯手，試辦新一代多媒體資訊站(Kiosk)，目前先在北市信義商圈驗證技術及商業模式可行性，作為未來實際部署的參考。

臺北市為推動智慧城市，這幾年和民間業者合作，以城市作為實驗場域，實驗各種城市創新應用。今天臺北市政府資訊局宣布和訊舟科技、Vermillion、光明遠大三家業者合作，推動新一代Kiosk試辦案，在信義商圈部署十座全新的Kiosk，結合電子廣告看板、空氣品質偵測、人流分析、公共免費Wi-Fi無線上網服務，開放民眾或觀光客免費試用。

這項試辦案不只資訊局居中協助，還將整合新工處、公園處、觀光局、文化局的資源，讓民眾可在Kiosk上查詢附近商家的資訊，公車交通資訊，或是最新的空氣品質偵測結果。臺北市資訊局長呂新科表示，在信義商圈部署的十座多媒體資訊站，將資訊流及部署在城市的感測器結合，加上附加的多項功能，這些資訊站將展現智慧城市中的價值。

呂新科進一步指出，目前這些多媒體資訊站仍在進行技術，包括資訊安全，後續也會對商業經營模式進行驗證及討論，驗證期間約一年，未來待驗證結束後，才會對Kiosk如何在城市中擴大落地有比較明確的做法。市府對各種解決方案都持開放的態度，任何的合作模式皆可能發生，待解決方案各個面向都經過驗證，有比較明確的瞭解後，未來的合作模式將按照討論的方式往下推演發展。

Kiosk在各國城市的部署，大多作為城市服務的延伸。以紐約市為例，該市從2004年就推出互動式的Kiosk，紐約在2016年推出一項LinkNYC專案，將原本城市中老舊的電話亭改造為Kiosk，提供免費Wi-Fi免費上網服務、國內電話、USB充電等，不過後來因為免費網路瀏覽功能遭濫用，被長時間佔用或是用於瀏覽色情網站，因此後來移除了Kiosk的網路瀏覽功能。

目前部署在北市信義商圈的10座Kiosk，主要以新光百貨的香堤廣場、微風松高、微風南山、信義威秀及台北101為主。訊舟科技共部署5座Kiosk，為雙面55吋自動感光螢幕，輪流播放廣告及15秒時間的空氣品質即時資訊。資訊站內建企業級的802.11ax無線網路，提供免費上網服務，一座Kiosk同時間可讓200人無線上網，速度為5M/2M(下載/上傳)，這5座Kiosk分布於北市信義商圈形成上網熱區，可依使用者位置在不同的Kiosk間切換上網服務。

Kiosk上提供的空氣盒子資訊，民眾可瞭解該地點的空氣品質狀況：

另一家業者光明遠大部署的4座Kiosk，採用雙面42吋螢幕，輪播廣告內容，資訊站同樣提供免費Wi-Fi上網服務，光明遠大和台智光合作，以Gb級光纖作為後端的連線頻寬，聲稱無線上網速度可達數百Mbps。

Kiosk上提供了10吋觸控螢幕，採用Android系統，可查詢公車資訊、地圖、城市景點導覽、3分鐘的本地電話服務，還內建Chrome瀏覽器，但為避免民眾濫用資訊站上網，Chrome瀏覽器限制僅能瀏覽北市觀光局等特定網站，沒有開放瀏覽其他網站。Kiosk下方也提供USB充電功能。

Kiosk提供免費Wi-Fi上網：

資訊站的上方的攝影機，結合AI及IoT技術，可進行去識別化的商圈人流分析，或是年齡分析，用於對特定的使用族群提供精準行銷廣告。

根據業者的說明，這些部署於北市信義商圈的Kiosk，未來將以廣告播放為Kiosk的商業模式，以供應資訊站的免費上網等服務，在信義商圈驗證廣告招攬的效果，以確定是否可支撐Kiosk的免費服務模式。

Ikea上周宣布，已正式成立智慧裝置事業部Ikea Home Smart，統管所有的智慧家庭商品。

於1943年在瑞典創立的Ikea為一跨國居家用戶零售業者，它目前的總部位在荷蘭，並在全球52個國家開設423家門市，在台灣的品牌名稱為「宜家家居」。

Ikea是在2012年啟動Home Smart專案，以於家用商品及解決方案中嵌入各種科技與數位元素，而現在則直接在瑞典Ikea成立Home Smart事業部，負責所有的智慧家庭用品業務，這也是Ikea自Children's Ikea之後最大的事業部門。

自Home Smart專案以來，Ikea已推出各種整合最新科技的家用產品，包括無線充電、智慧照明與智慧喇叭等，也替這些智慧家庭用品打造了專用的Ikea Home Smart行動程式。

主管Ikea Home Smart事業部的Björn Block表示，該部門將與Ikea的其它部門合作，涵蓋照明、客廳、紡織、廚房或餐廳等，以推動整個Ikea的數位轉型，改善及改變既有的業務，並開發其它的新業務以創造更多的智慧產品。

根據市場研究機構IDC的預測，今年全球智慧家庭裝置將比去年成長26.9%，達到8.3億美元的規模，從2019年到2023年，成長最快的產品應為照明裝置，每年平均成長幅度可達34%，居次的則是家用監控裝置，每年可成長25.8%，估計到了2023年全球的智慧家庭裝置出貨量將接近16億件。

之前媒體報導，Windows 10 20H1將只是小改版，不會有什麼大更新。不過還是有些有趣的改變。例如微軟上周五釋出Windows 10 20H1的開發商預覽測試版，首度將記事本（Notepad）獨立成為可由Microsoft Store下載的app。此外還加入GPU溫度監控、虛擬桌面重新命名等功能。

已經30多歲的記事本一直是許多人愛用的文字編輯器，微軟也陸續加入新功能，例如去年的1809版Windows 10更新就為記事本加入支援Unix/Linux（LF）及Mac斷行字元（CR）、將特定詞反白後按右鍵選單可在Bing搜尋欄自動填入、以及在檔名處以「*」號顯示尚未儲存。而在最新的代號Build 18963的Windows 10 20H1 Insider Preview中，記事本將移到Microsoft Store中供獨立下載。這讓微軟未來可以隨時增加新功能，不用再等新版Windows更新才釋出。

Build 18963其他新功能還包括在「工作管理員」中加入GPU溫度監控，這也是要求呼聲最高的功能之一，不過目前只支援有專屬GPU顯卡的系統，也只顯示攝氏溫度，用戶需要更新顯卡的驅動程式。並加入為虛擬桌面重新命名的功能，按下工作列上的「工作檢視」或按「WIN快捷鍵＋空白鍵」即可找到並重新命名。此外，Windows 10的「設定」也改善了選用功能（Optional Features）的功能，包括一次多選並安裝、分類更容易等，此外也把調整滑鼠游標速度的功能歸入到Windows 10的「設定」。

新版Windows 10更新還特別為繁體中文輸入法修正幾個問題，包括在「設定」關閉輸入法工具列時卻還跳出來、於工具列選單中加入「隱藏工具列」的按鍵。而且也修正了候選字視窗字數太少、以及在工具列中無法以數字鍵選字的問題。 

臉書（Facebook）近日對外揭露該公司已研發多年的Zoncolan除錯平台，它是以靜動分析自動檢查大量的程式碼以找出潛在的臭蟲、安全漏洞或是隱私漏洞，並已可在30分鐘內，檢查逾1億行的Hack程式碼。

根據臉書工程團隊的說明，他們是在多年以前啟動了Zoncolan專案，當時他們手動審核以前的安全漏洞，包括臭蟲報告、根本原因與相對應的修補程式，同時抓漏獎勵專案也帶來有用的資訊，透過數百份的報告來判斷哪些類別的問題適合靜態分析，並設計出Zoncolan系統來偵測它們。

Zoncolan使用了抽象解釋（abstract interpretation）技術來追蹤程式碼中由使用者控制的輸入，它在分析程式碼時，建置了可代表程式碼中的函數行為，以及這些函數如何互動的資料結構，再形成每個函數行為的摘要，而且只紀錄了與潛在危險資訊流有關的屬性。

Zoncolan會追蹤自資訊源頭到資訊目的地的資訊流，據此建立規則，每個規則都代表某種型態的潛在安全漏洞，當Zoncolan發現有資訊流符合其中之一的規則時，就會提出警告，並附上資訊流的完整描述。

以上述方法即可在不到30分鐘內掃描上億行的程式，若要以人力檢測規模如此龐大的程式碼，通常是經年累月才能完成。

臉書表示，儘管Zoncolan平台無法逮到所有的問題，但卻能發現類別上的問題，可縮短安全工程師檢查程式碼的時間，也透過規則來避免類似的問題再度發生，而且所有的規則都紀錄在案，方便未來進行教育或變更。

臉書已打造一個廣泛的基礎設施來執行Zoncolan，它平均每天可評估數千項的程式變動，去年Zoncolan協助辨識超過1,100個被列為重要或更嚴重的安全問題，以要求程式碼作者或安全工程師立即採取行動。

目前Zoncolan平台主要應用在臉書所開發的Hack程式語言上，未來臉書除了計畫將它擴大到其它臉書所使用的程式語言之外，也打算以Zoncolan的核心元素來打造一個開源工具，讓臉書以外的工程師，也能享受該平台所帶來的便利。

Tokata行動應用程式開發人員Patrick Godeau在部落格抱怨，Google在7月底的時候，告知由於他的應用程式Star Words違反惡意程式行為政策，除了將其應用程式從Google Play上移除之外，也終止了他的開發者帳號，並拒絕了他的所有申訴。

Patrick Godeau從2011年開始作為獨立開發人員，陸續開發了Jimi Guitar、Cozmic Zoom、Star Words和Safe Play應用程式，主要平臺在Google Play，累積有數百萬的下載次數。而7月31日的時候，Godeau收到來自Google Play團隊的電子郵件，通知應用程式Star Words因為違反惡意程式行為政策已經被刪除，而且其開發者帳號也已經被終止。

Star Words是一款可以將使用者輸入的文字，以電影《星際大戰》開頭字幕形式輸出的應用程式，使用者可以自由地變更背景圖片或是配樂，並選擇將這段文字以影片或是圖片的形式，在社交平臺或是以電子郵件共享。Godeau細讀了Google Play的惡意行為政策，仍然不清楚確切違法的政策，即便他再次申訴，仍然被以多次違反開發者計畫政策駁回。

在這個過程，Google都是交由機器人處理，因此Godeau也無法實際與任何Google的人員聯絡，Godeau提到，他在各行動應用平臺，包括iOS和Amazon Appstore都有發布應用程式更新，即便有時候因為一些原因被拒絕更新，也會有技術支援提供更詳細的原因，而終究在修正完成後都能夠順利發布更新，不過，這次與Google Play交涉的經驗，卻無法獲得進一步詳細的訊息。開發人員帳號被終止，代表所有與該開發人員相關的註冊帳號以及Google服務都會被中止，且無法再次註冊。

在2018年6月8日，Godeau也收到過Google Play團隊告知，其Cozmic Zoom Lite違反裝置和網路濫用政策，因此應用程式也遭到下架，經過申訴之後，Google允許Godeau以不同的應用程式名稱發布新版本，信中寫道問題可能與YouTube存取有關，Godeau表示，他的應用程式使用了一些科學影片，但都有取得作者授權，且使用YouTube API撥放，他無法進一步知道應用程式違反政策的原因，但為了避免發生任何風險，只好把所有YouTub影片從應用程式中拿掉。

Godeau在部落格中寫道，他希望Google Play可以具體提供應用程式存在的問題，讓他可以修正後重新發布。Godeau也提到，在他上網尋求協助的時候，發現有許多開發者遭遇相同的情況，由於輕微原因或是無意的情況下，帳號突然被Google Play機器人終止，而這直接影響到了開發人員的收入。

這篇文章貼出後，在網路論壇Hacker News受到熱烈討論，有不少人提出了相似的案例，在去年聖誕節的時候，Google也在沒有任何事先通知的情況下，直接終止了新創公司GreenLionSoft的開發者帳號，另外，還有網友提到，Google Play上的應用程式Guidebook，其開發者帳號也在8月18日被禁，而且維護Guidebook的是一間員工超過70人的企業。

參與新世紀福音戰士動畫製作的動畫工作室Khara，宣布將更換動畫製作工具，從3ds Max轉而使用開源3D繪圖軟體Blender。Blender目前已經被用於部分最新的福音戰士劇場版《EVANGELION:3.0+1.0》製作，而在該部電影結束之後，該工作室會正式完全切換到Blender。

而驅使他們轉換動畫製作工具的原因，除了3ds Max授權費高昂之外，也是因為Blender開源，可以自行開發來擴增所需的工具，不像其他專有軟體須仰賴開發公司的更新，而且過程耗時且靈活度不佳。

Khara工作室提到，3dx Max單個用戶年費為254,880日元，即便供應商提供多用戶訂閱的折扣，整體費用仍然非常高，但對規模20到30人的企業，其營收難以打平訂閱成本。

免費的Blender與其他軟體擁有幾乎相同的功能，Khara工作室提到，改用Blender的挑戰，在於合作夥伴企業是否也跟著使用，由於Blender免費，這個問題相對較小，他們也會建議合作對象使用Blender。

不只是成本考量，Blender有一款Grease Pencil工具是另一主因，因為Khara工作室是一家重視3D電腦動畫以及手繪的公司，結合這兩項來提升動畫製作的生產力及品質，而使用者可以Grease Pencil的鋼筆工具，在3D空間繪製線條，並在檢視區域中結合2D與3D功能，不只可以用Grease Pencil來建立3D模型，還能夠在3D空間中進行手繪，直接為動畫繪製更多細節，而這正是讓Khara工作室決定轉換繪圖軟體的關鍵功能。

Khara工作室目前於電影《EVANGELION:3.0+1.0》的製作工作流程中，加入Blender進行測試，他們會在部分鏡頭使用Blender，等到工作流程更成熟後，才會擴及其他鏡頭，並在下一個專案完全轉換。Hiroyasu Kobayashi表示，他們與Autodesk仍然維持良好的關係，也仍然對3ds Max提出功能改進要求，但對於專有軟體來說這需要時間，因此他們想藉由Blender更快完成部分工作。作為Blender在日本動漫產業的前鋒使用者，Khara工作室不只是使用者，也加入Blender基金會參與Blender的發展，Khara數位部門經理Hiroyasu Kobayashi提到，開源的好處是，任何人都可以為Blender添加功能。

不過，仍有部分工作無法靠Blender做到，Khara工作室需結合Unity來解決這些問題，Hiroyasu Kobayashi表示， Unity足夠用來涵蓋3ds Max和Maya，在各環境中提供溝通的橋樑。目前Khara工作室也開始與合作夥伴溝通，轉換使用Blender。

跨平臺行動應用程式開發框架Ionic團隊，釋出Ionic React發布候選版本。過去Ionic開發框架都與Angular框架綁在一起，而由於今年初Ionic框架4.0的發布，開發團隊大幅改進了框架核心，使其能夠擴展與更多不同的框架相容，而Ionic React便是這項努力的成果。

Ionic的開源框架的核心由一群UI元件集合而成，這些元件由HTML、CSS和JavaScript建置而成，可以讓開發者原生地用在iOS和Android應用程式中，或是透過Electron框架建置桌面應用程式，甚至可以開發漸進式網頁應用程式。

雖然Ionic原本就使用網頁標準建置，不依賴任何的框架，因此之前就能夠將Ionic與其他框架一併使用，要將Ionic導入到React專案中使用也沒問題，但是前提React要可以與網頁元件溝通，開發者需要撰寫一些樣板程式碼。

而Ionic React是一個輕量的包裝程式，可以把Ionic核心元件輸出為原生React元件，並且自動處理樣板程式碼，另外，Ionic React也包含了頁面生命周期管理功能，開發團隊改進了熱門的react-router套件，另外發布ionic/react-router，為Ionic應用程式提供更良好的React路由功能。

YouTube近日宣布將變更手動聲明政策（manual claiming policies），對於在影片中不經意出現或者非常短的版權內容，不再允許版權擁有者藉此營利。

YouTube為了維護版權擁有者的權益，建置了Content ID系統，該系統可存放版權擁有者的內容，再比對創作者所上傳的內容，若有侵權內容即會發出版權聲明，倘若版權擁有者發現Content ID失誤了，還可利用手動版權聲明主張版權。

在發現侵犯版權的內容之後，版權擁有者可以選擇封鎖該影片，或是在該影片上植入廣告以賺取收益，有些時候還能與創作者分享廣告收入，亦可追蹤影片的瀏覽數據。

然而，YouTube近來發現有愈來愈多的版權擁有者透過手動聲明來主張版權，而這些影片侵犯版權的部份可能很少，也許是十秒鐘的歌曲片段，也可能只是一句歌詞，或者只是影片背景中駛過的汽車播放了侵權音樂，還是背景中出現的商店所播放的音樂，亦有些教導歌曲編排的YouTuber不斷被申訴。

為了在這些十幾分鐘或幾十分鐘的影片中確認所侵犯版權的範圍，YouTube在今年7月要求版權擁有者提出版權聲明時，必須提供時間戳記來標明自己所擁有的內容出現在影片的哪一段，同時也改善創作者的影片編輯工具，以讓創作者更方便移除這些片段。

然而，YouTube在上周表示，隨著版權擁有者積極針對營利影片中非常短暫的音樂來宣告版權，進而把創作者的所有獲利轉移到版權擁有者身上，令人感到特別不公平，於是他們決定再度變更手動聲明政策，將禁止版權擁有者透過手動聲明將僅含少量侵權音樂的創作影片獲利歸為己有，且預計於今年9月中實施。

在新政策上路之後，版權擁有者依然可透過手動聲明宣告版權，也能申請封鎖影片，或是避免創作者與任何第三方在該影片上執行廣告，只是無法再從這些影片獲得營收。此一新政策也僅適用於手動版權聲明，並未涵蓋由Content ID系統自動比對之後所產生的版權聲明。

媒體分析指出，該政策在短期內可能會造成更多的影片遭到封鎖，但長期而言應該會形成一個相對健康的環境。

YouTube指出，儘管也可能會有版權擁有者選擇放過這些影片，但建議影片創作者最好還是避免使用任何非授權的內容。

8/9~8/15精選容器新聞

#MAC平臺、#Docker、#Kubernetes
第一個Mac的Kubernetes容器調度解決方案Orka亮相

企業級Mac雲端基礎設施供應商MacStadium推出了Orka（Orchestration with Kubernetes on Apple），這是基於Docker和Kubernetes技術在Mac上的虛擬層，用戶可以在macOS上的虛擬機器，使用原生Kubernetes指令管理容器，MacStadium提到，Orka是第一個Mac的Kubernetes容器調度解決方案。Orka為Apple硬體建構新的虛擬化技術，並且使用標準雲端排程工具。官方提到，任何版本的macOS，都能在數秒鐘啟動虛擬機器，之後交由Kubernetes叢集調度這些Pod，讓Apple開發人員也可以應用，與其他平臺相同的容器管理方法。由於Orka基於Kubernetes技術，因此也支援KubeCTL、KubeDashboard和Autoscaling等標準工具的存取。

#Hyper-V、#VM安全
微軟8月大修補93個漏洞，29個重大漏洞中有兩個專攻Hyper-V

微軟在今年8月的Patch Tuesday修補了93個安全漏洞，並有29個被列為重大（Critical）漏洞，包括微軟特別提出警告的CVE-2019-1181與CVE-2019-1182，以及最新剛被公開披露的HTTP/2漏洞。其中，有16個與Windows有關，12個與繪圖元件有關，9個與腳本引擎有關，7個與Hyper-V有關，7個與RDP有關，與Windows核心及Office有關的漏洞各有6個，另有5個與HTTP/2有關。尤其是，列為重大等級的安全漏洞中，有兩個與Hyper-V有關，它們分別是CVE-2019-0720與CVE-2019-0965，它們都允許駭客透過Guest OS於Host OS上執行任意程式。

資安專家推測，不久的將來應該就能看到各種開採RDP漏洞的攻擊程式在市場上流竄。上述4個RDP漏洞都可能發展成蠕蟲式攻擊，亦即它們能自行複製並散布至其它系統，其它的蠕蟲式漏洞還包括位於DHCP客戶端的CVE-2019-0736，存在於LNK的CVE-2019-1188，藏匿在Word中的CVE-2019-1201，或是Bluetooth Classic的加密金鑰協商漏洞CVE-2019-9506。

#RDP、#VM安全
資安研究人員踢爆：微軟忽視RDP漏洞直至察覺它影響Hyper-V

Check Point的安全研究人員Eyal Itkin最近踢爆，他們在去年10月曾向微軟提交一個遠端桌面協定（Remote Desktop Protocol，RDP）漏洞，但當時微軟不以為意，一直到微軟察覺該漏洞危及Hyper-V，才申請了CVE-ID漏洞編號並於今年7月修補。Hyper-V中有一個增強工作階段（Enhanced Sessions）模式，啟用後可重新定向本地端的裝置與資源，還具備了剪貼簿同步功能。Itkin發現它此一同步功能的設定介面與RDP一模一樣，而且可用同樣的腳本程式開採，但這卻是一個因RDP漏洞而起的Hyper-V guest-to-host虛擬機器逃逸漏洞（Hyper-V guest-to-host VM escape）。

#無伺服器、#GCP
GCP大數據分析整合無伺服器應用更容易，Cloud Functions可以直接整合BigQuery了

Google為即時分析Cloud Storage中的資料，提供了一個新的途徑，用戶除了可以使用Cloud Dataflow進行複雜的資料串流處理之外，現在還可以使用無伺服器服務Cloud Functions，以函式自動地將資料串流到BigQuery，進行快速分析。相較於能夠用來處理複雜ETL工作以及大型資料集的Cloud Dataflow，Cloud Functions相對來說更為簡單靈活，除了能適時縮放運算能力，適應需要處理的資料量外，用戶還能以Cloud Functions自定義功能，執行像是使用Cloud Firestore資料庫等其他任務。

#CI/CD、#GitHub
GitHub Actions完整支援CI/CD，免費公開儲存庫也可用

GitHub更新工作流程自動化平臺Actions，現在進一步完整支援持續整合和持續交付功能，而GitHub Actions支援的作業系統也從Linux，擴展到了macOS和Windows，支援的語言和框架包括了Node.js、Python以及.NET等。新提供的矩陣建置（Matrix Builds）功能，讓軟體開發團隊可以同時測試專案中的多個版本，以實現工作平行化減少測試時間，而在測試任務的安排上，GitHub也可以自動從現成的CI/CD池中，挑選並建議相關的工作流程。正式版預計會在今年11月13日上線。
未來Actions的更新，將會提供給使用者自託管的執行程式（Runner），當開發者在自己的資料中心執行虛擬機器，或是在雲端上運作的實例，開發者可以自己安裝Actions執行程式，同樣也能以簡單的方法自動化工作流程。

#高效能運算、#Azure
Azure推出高效能運算應用專用的HBv2虛擬機器系列，效能是前一代的4倍

微軟推出Azure第二代HB系列虛擬機器HBv2，專為高效能運算應用設計，提供高階的硬體設備，微軟也發布經最佳化的預建置的CentOS映像檔，讓開發者能以HBv2最佳效能執行工作負載。
HBv2虛擬機器搭載120個AMD EPYC 7002系列CPU核心，每個CPU核心搭配4GB記憶體，因此整體擁有480GB記憶體，而HBv2的記憶體頻寬高達50GB/sec，約是x86的150％。每個HBv2可以提供雙精度4 teraFLOPS的效能，單精度則能有8 teraFLOPS，而這樣的效能是第一代的4倍。

API管理、微服務安全、Apigee
Apigee API新增安全報告功能，助企業評估API服務安全性

Google在Apigee API管理平臺新增了API安全報告功能測試版，除了讓企業可以確保API服務符合安全法規之外，還能透過分析用戶行為，即時保護用戶敏感資料，而當API發生安全事件時，也能快速地診斷問題發生位置。
不少企業使用API作為連接關鍵應用程式的標準，營運團隊需要隨時監控並維護API服務的運作狀況，避免在內部或是外部遭到濫用，而現在Apigee API管理平臺加入的安全報告功能，其主要具有3項核心功能，包括安全法遵、資料保護以及診斷功能。

責任編輯／王宏仁

更多Container動態

• 台灣大哥大和VMware、數位通聯手推出運算雲Plus，搶攻企業上雲需求
• Google擴充Compute Engine虛擬機器類型，推出N2、C2和M2系列測試版
• AWS獨立各服務PowerShell模組，以減少模組載入時間
• Slack釋出新的企業管理功能

＠資料來源：iThome整理，2019年8月

這幾年美國科技業者紛紛推出各自的語音助理，從蘋果的Siri、Amazon的Alexa到Google的Assistant，而根據市場研究機構eMarketer的調查，美國地區每月使用數位語音助理的用戶數量，已從2018年的1.02億成長到今年的1.12億，約占美國網路人口的39.4%，或是美國總人口數的33.8%。

根據Social Lens Research去年的調查，美國民眾最常使用數位語音助理來執行的任務為導航、撥電話、聽音樂及尋找最近的商店。

此外，最常用來執行數位語音助理的裝置為智慧型手機及聲控喇叭，主要是因為這兩項裝置多半內建了語音助理功能，且相對普及，例如美國智慧型手機的滲透率為70.5%，而聲控喇叭則是23.5%。

eMarketer估計，使用數位語音助理的美國用戶在2021年將會達到1.23億人，占美國網路人口的42.2%，且該服務的應用也將從手機與聲控喇叭，日益擴大到汽車、穿戴式裝置、智慧電視與其它連網裝置上。

香港反送中行動引發大規模示威活動，主要社交平台推特及臉書近日紛紛出現針對香港示威行動的言論，周一推特和臉書以聯合散佈大規模訊息及假帳號為由，分別將900多個推特帳號關閉或移除少部份臉書粉絲專頁、帳號，但強調不是基於其內容。

近日兩大社交平台卻發現大量帳號及粉絲專頁張貼香港示威行動的訊息，但臉書、推特等美國社群媒體向來在中國被禁，中國使用者非得使用VPN否則連不上這些網站，因此顯然是受到官方許可的行為。

推特周一表示已將936個源自中國境內的推特帳號移除，理由是「刻意且存心搧動香港政治紛擾，包括推翻街頭陳抗行動的合法性及政治定位」。經過仔細分析，推特相信掌握相當證據，認定這些涵括中、英文的帳號，全是受中國政府支持的行動，以聯合行動散佈和香港抗議行動有關的負面訊息。

推特表示，這近千帳號是由近20萬個帳號組成網絡的一部份，後者曾因違反推特政策的行為遭停權，但隨後持續滋生壯大。這近20萬個中、英文帳號涉及散布大量訊息、假帳號、串聯行動、迴避管制等違反政策的行為，而全數遭停權，推特並將這些帳號的內容及用戶資訊，分享給臉書等其他網站。

臉書也在周一宣佈，他們依據推持提供的資訊，移除了源自中國、聯合散佈香港示威不實消息的內容，包括5個臉書帳號、7個粉絲專頁及3個群組。

臉書網路安全政策主管Nathaniel Gleicher強調，這些帳號、粉絲專頁及群組遭移除，並不是因為其貼文的內容，而是他們的行為，像是聯合其他帳號、粉絲專頁發佈訊息，並使用假帳號。有些人利用假帳號建立冒充媒體的粉絲專頁及在群組貼文後，驅使用戶連上站外、主要是中國本地政治新聞網站。經過分析，臉書相信這些個人都和中國政府有關係，其中有些已被臉書自動化系統關閉。臉書也發現，有1.6萬個帳號追蹤7個被關閉粉絲專頁中的1個或1個以上的專頁，有2,200個帳號甚至為3個群組的成員。

推特和臉書都表示會持續高度警覺並稽查類似行動。