就在代號為Felix的俄羅斯安全研究人員Vasily Kravets連續公開揭露兩個Steam客戶端程式的權限擴張漏洞之後，Valve向媒體發出了聲明，表示拒絕Felix所提出的第一個漏洞是錯誤的。

Felix當初透過Valve於HackerOne上執行的抓漏獎勵專案，回報了Steam程式的本地端權限擴張漏洞，但被以超出抓漏獎勵專案的範圍而拒絕，於是Felix在不被同意的狀況下公開了該漏洞，接著即成為該專案的拒絕往來戶，使得本周Felix再度對外揭露Steam程式的第二個本地端權限擴張（Local Privilege Escalation，LPE）漏洞。

在媒體紛紛要求Valve評論此事時，Valve發表聲明，坦承當初認為Felix所提出的漏洞超出抓漏獎勵專案範圍是不對的，該專案唯一排除的是Steam程式用來發動電腦上既有惡意程式的漏洞，對規則的誤解，使得他們錯失了更嚴重的本地端權限擴張漏洞。

因此，Valve已變更HackerOne平台上的專案規則，明確指出任何允許惡意程式不必經由管理憑證就能藉由Steam擴充權限的漏洞，或是任何未經授權即可變更Steam權限的漏洞，都在抓漏範圍內。

而對於外界質疑Valve是因不想支付獎金才選擇忽視Felix所提報的漏洞，Valve也說，該公司在過去兩年內已與263名安全研究人員合作，找出及解決了約500個安全漏洞，支付了超過67.5萬美元的獎金，期望能繼續與安全社群合作以改善產品的安全性。

此外，Valve也正在修補Felix所公布的第二個本地端權限漏洞。不過，Felix向媒體透露，截至本周四（8月22日）Valve或HackerOne並未跟他聯繫，且他依舊遭到該抓漏專案的封鎖。

「容器該不該放進VM中執行？」這是前幾天，我遇到SUSE作業系統商工程、產品及創新總裁Thomas Di Giacomo時，碰面寒暄後的第一個問題。

Thomas回答：「這是一個最好的折衷作法。因為容器不夠安全，而且VM的可攜性又太差。」

Thomas可是全球開源技術和網路界的大人物，憑著電信產業多年技術長經歷，成了Linux基金會網路部門主席，後來更成了Cloud Foundry基金會董事和力推Kubernetes的CNCF董事會成員至今，是開源和雲端原生產業的意見領袖之一。2016年進入SUSE擔任技術長，在SUSE獨立後，他更進一步接下現在的職位。

站在全球開源雲端技術的第一線，Thomas並不認為，容器足以成為取代VM的萬靈丹，尤其，從企業角度來看，容器不夠安全。而且，Thomas強調，這不只是他的個人看法，Google也是如此。Google早在去年5月開源釋出的沙盒容器gVisor，就是最好的證據。

沙盒容器gVisor其實就是一種「虛擬化的容器」（Virtualized Container），同樣是將容器放進了虛擬機器中，只是gVisor不是採用傳統笨重的虛擬機器，而是經過優化、客製，專門為容器而瘦身的特殊VM。Google的理由也是為了安全問題。

Thomas告訴我，虛擬化技術已經有成熟的網路管理、儲存支援與安全政策管理機制，這些都是目前容器技術還不夠成熟之處。可是，微服務世界已經來了，雲端原生應用到處都是，這些都非得靠容器技術，才能更輕巧，快速擴張和移動。安全怎麼辦，最快的方法就是「容器放進VM，兩者結合就走出了基礎架構的第三條路。」他說。

這也不是新的點子，VMware早在2015年，就開始研究一個VM搭配一個容器的部署方式，甚至還研發出了一個超輕量的作業系統Photon OS，不過，這款產品在VMware原有虛擬化平臺上的布局，要等到今年8月底才會揭曉。

而從VM技術起家的OpenStack也在Kubernetes競賽上慢了一步，為了追上容器技術競爭的腳步，選擇從VM優勢來切入容器，在2年前發起一個Kata容器計畫，同樣要打造出一款類似gVisor的虛擬化容器產品。

如今，Kata越來越成熟，上個月SUSE正式將Kata納入SUSE Linux滾動升級版本中。Thomas表示「這將會是Linux作業系統的重要能力之一。」

但是，將容器放進VM，雖然兼具了兩家之長，但也喪失了不少容器輕量化的優勢，更大的挑戰是「基礎架構維運的複雜度增加了，試想在K8s平臺上，一群虛擬化的容器組成了K8s的POD叢集時，監控機制能否同時蒐集到容器和VM的狀態和變化，將比過去的難度更高上好幾倍，「甚至，如何調校彼此互相搭配時的效能，將會是更大的挑戰！目前，我還沒有看到這方面的技術或產品。容器和VM將會共同存活很長、很長一段時間，就像30年前的大型主機，至今仍在一樣。」Thomas這樣告訴我。

老牌自動化組態管理軟體供應商Puppet推出漏洞管理解決方案Puppet Remediate，以減少企業從發現漏洞到處理所花費的時間，Remediate加速了辨識、決定優先處理順序，以及修正的整個漏洞管理工作流程。

Puppet提到，企業典型的漏洞管理工作流程通常很沒有效率，安全團隊會給營運團隊一系列發現的漏洞列表，而營運團隊需要從這些漏洞中，依嚴重性決定出處理的優先順序，而修補漏洞的方法通常也以缺乏標準的方式手動進行，不同的團隊處理的方式也不一樣，而漏洞修補報告也以手動產生。

Puppet表示，識別漏洞與修復漏洞的工作中間存在巨大的鴻溝，而Puppet Remediate漏洞管理解決方案的目的，就是要簡化煩瑣的漏洞修補工作流程。Puppet與合作夥伴整合，統一管理基礎架構與漏洞資料，使得企業能快速辨識受到漏洞影響的基礎架構資源，並立即採取修復行動。

Puppet Remediate解決方案有三項主要功能：漏洞資料共享、漏洞風險排序以及無代理修補。Puppet Remediate統一基礎架構的漏洞資料，是來自Tenable、Qualys和Rapid7三家資安公司，這讓IT營運團隊能夠即時獲取漏洞訊息，減少延遲以及手動傳遞資料帶來的風險。

IT營運團隊可以根據組織基礎設施重要性，決定需要優先關注的漏洞，Puppet Remediate所提供的關鍵漏洞儀表板，能夠讓IT營運團隊一目瞭然企業擁有的資產，以及存在漏洞的基礎設施和其重要等級。

Remediate還提供了無代理漏洞修補功能，Puppet提到，在2018年的10大CVE漏洞，有8個可以透過軟體包更新，而Puppet Remediate預建置的任務中，便包含了更新套件的能力，另外，Remediate也可以從Puppet Forge載入模組，不需要使用CLI或腳本就能修復漏洞，而且也不需要在易受攻擊的系統上使用代理技術。

現有的紙本國民身分證將汰除，內政部預定明年10月開始換發數位身分證（New eID），屆時身分證上的卡面資料將只有5項資料，預計2023年完成2359萬人換證。

內政部指出，數位身分證將結合國民身分證及自然人憑證，兼具實體世界及網路世界的身分識別，數位身分證的卡面資料將依資訊最小揭露原則，晶片內儲存的資料則和現有紙本身分證相同，不會儲存其他資料。預計明年10月開始換發，2023年3月完成換發，民眾換發不需付費，政府預估花費48億元經費。

新的數位身分證採晶片卡設計，符合ISO 29115數位身分驗證的最高等級4規範，並以數位簽章確保線上交易的安全及不可否認性。在資安管理上，內政部有ISMS資訊安全管理系統、資安監控中心，還有第三方獨立單位的驗證。

內政部表示，數位身分證將是真實世界及網路世界的身分識別鑰匙，民眾未來可憑數位身分證使用各項智慧政府業務。

在耐用性上，新的數位身分證結合多層融合、雷射雕刻個資，而耐用可達10年，不像紙本身分證較容易損壞。新的數位身分證還採用多重雷射影像、光影變化箔膜等防偽技術，提高偽造的門檻，加上晶片被封裝後無法取出，使用時建立一次性的安全通道傳遞資料，並以動態金鑰加密資料，一旦移除卡片即清除內容及通道，可避免被側錄。

卡面記載5項資料

現在的紙本身分證，卡面記載11項個人資料，如果身分證交到他人手上，或是不慎遺失，可能外洩過多的個人資料，產生相關的風險；新的數位身分證將採最小資訊揭露原則，正面除了國旗、註明中華民國國民身分證Republic Of China（Taiwan） Identity Card，並記載姓名、統一編號、出生日期及照片，背面則是結婚狀態（僅顯示有無），以及製證日期、換發日期、證件號碼條碼、統一編號條碼等。

晶片內身分資料分區儲存

至於晶片內儲存的資料則分區，包含戶籍地區、公開區、加密區、自然人憑證區及ICAO國際民航組織機讀旅行證件區。戶籍區僅儲存村里鄰，並非完整的戶籍地址資料，公開區儲存姓名、統一編號、出生日期、戶籍地址及役別，需輸入以身分證統號後6碼的讀取碼才能讀取。

加密區則記錄配偶姓名、父母姓名、出生地、性別、相片及公開區資料，需要本人設定的密碼才能讀取。自然人憑證區則需輸入憑證密碼，才能申請停、復用自然人憑證。ICAO區則供國內自動通關使用，但內政部表示，這部分還需要和外交部協商。

如下圖所示，晶片卡內儲存的資料分區，公開區記錄姓名、統一編號及出生日期等資料，只要輸入讀取碼就能存取，而加密區記載更詳細的資料則需本人同意及輸入密碼才能讀取。民眾向公務機關、醫院或金融機構申請服務，需要本人同意，並輸入密碼，機構也需向內政部取得授權始能讀取加密區的資料。卡片的掛失則透過廢止清單確認卡片的有效性。(來源：內政部戶政司)

民眾也可以自行輸入讀取碼、密碼或憑證密碼登入，檢視不同分區內儲存的個人資料及憑證資訊。

至於外界擔心國家監控，內政部強調民眾持數位身分證至金融機構、電信或不動產申請服務，因僅存取晶片內儲存的資料，不會連線至內政部的憑證管理中心，因此不會留下使用紀錄，沒有被監控的疑慮。

值得注意的是，除了實體的數位身分證，內政部未來可能推出行動身分證App，未來可能讓民眾在手機上使用數位身分，申請各項服務。不過，內政部並未透露更多的細節，或是何時推出行動身分證App。

目前數位身分證的樣張並未底定，將在明年4到5月公布數位身分證的正式樣張，到時才會知道數位身分證的真正樣貌，9月建置製卡中心、製發系統，10月開始換發。

華爾街日報於本周報導，旗下擁有華爾街日報、澳洲新聞集團、英國新聞集團及道瓊公司等多個新聞資產的新聞集團（News Corp），正準備推出名為Knewz的新聞聚合服務，以與Google News等平台一較高下。

根據報導，Knewz將會聚集數百種新聞來源，且不侷限News Corp旗下的媒體，可能涵蓋華爾街日報、紐時報導、華盛頓郵報、NBC News、數位媒體或其它地方媒體，並將流量導回原始媒體，將打造Knewz網站與同名的行動程式，預計會在今年問世。

Knewz的經營模式將類似Google news，不會代管這些媒體平台的內容，也不向它們收取費用或拆分廣告收益，但希望能讓小型新聞網站有更好的曝光率，以與Google或臉書的新聞遞送有所區隔，而Knewz的主要收入則是來自於廣告。

值得觀察的是，同樣屬於新聞聚合服務的Google News曾經遭到某些國家的抵制，要求Google必須要付費給所摘錄新聞的媒體，但Google以並未於Google News上執行廣告服務為由，強硬拒絕政府要求，並曾因此而選擇關閉西班牙的Google News服務。令人好奇要在Knewz上提供廣告服務的News Corp是否會面臨同樣的挑戰。

除了News Corp之外，臉書也準備在今年秋天推出獨立的新聞標籤，以提供來自各出版商的新聞動態，但目前細節尚不明。

華盛頓郵報於本周報導，美國51州的檢察長已與境內的12家電信業者達成共識，電信業者承諾將導入新技術來封鎖防不勝防的自動語音電話。

在美國非常猖獗的自動語音電話（Robocall）是利用自動撥號技術打電話給消費者，以播放預先錄製好的內容，目的涵蓋行銷、政治宣傳與詐騙，有些則是為了騙取民眾的個資。這是美國民眾向美國聯邦通訊委員會（Federal Communications Commission，FCC）投訴的第一名，去年美國民眾總計收到480億通自動語音電話，而光是在今年7月就有47億通。

參與此一協議的包括了美國的重量級電信業者，諸如AT&T、Comcast、Sprint、T-Mobile與Verizon等，它們打算免費提供「反語音電話工具」予消費者，還準備部署新的系統以辨識來電電話的真實性。

只是，雖然電信業者承諾了此事，卻沒有時程規畫，檢察長們則希望業者的動作愈快愈好。

印度第二大連鎖零售業者Future Retail在本周向印度證券交易委員會提交的文件中指出，Amazon已買下其關係企業Future Coupons的49%股份。

Future Coupons在印度專門開發供企業或組織所使用的禮券、會員卡或獎勵卡，且握有Future Retail 約7.3%的股份，此次交易代表Amazon也將間接持有3.58%的Future Retail股份。

TechCrunch引述Amazon的回應指出，此一交易是為了強化該公司在印度支付領域既有的投資，不過，先前曾有報導指出Amazon的目標其實是取得10%的Future Retail股份。Future Retail在印度的400個城市經營超過1000家零售商店，與Amazon的電子商務服務有互補之效。

根據估計，為了進軍印度市場，Amazon在該市場至少已投入了60億美元。而不論是Future Retail或Amazon都未揭露此次的交易金額。

臉書除錯平臺可在30分鐘內偵測逾1億行程式

近日臉書（Facebook）公開自家Zoncolan除錯平臺，它是以靜動分析自動檢查大量的程式碼以找出潛在的臭蟲、安全漏洞或是隱私漏洞，並已可在30分鐘內，檢查逾1億行的Hack程式碼。

Zoncolan使用了抽象解釋（abstract interpretation）技術來追蹤程式碼中由使用者控制的輸入，它在分析程式碼時，建置了可代表程式碼中的函數行為，以及這些函數如何互動的資料結構，再形成每個函數行為的摘要，而且只紀錄了與潛在危險資訊流有關的屬性。更多內容

臺灣本土惡意檔案檢測服務開放民眾使用

對於線上的免費惡意檔案檢測服務，多數人應該都會想到VirusTotal，可以一次透過50多套的掃毒引擎檢測，現在，使用者將多了一個可利用的管道，而且是臺灣本土的服務，那就是由台灣電腦網路危機處理暨協調中心（TWCERT/CC），今年7月中旬開始上線營運，對外開放免費使用的Virus Check，網址是https://viruscheck.tw/。

基本上，Virus Check的使用方式，如同VirusTotal一樣簡單，國內使用者只要在這個服務網站將檔案上傳，就能檢視是否具有惡意威脅。特別的是，Virus Check不只運用了靜態分析，還會透過沙箱進行動態分析，並將兩種分析結果將同時且互補地檢驗，做到更好的檢測成效。更多內容

金融防詐欺模型新作法，SAS用GAN扮演壞人來練兵

圖片來源_SAS

銀行經常得蒐集各種詐欺事件和案例，來建立各種防詐欺風險控管機制，老牌數據分析公司SAS揭露了一個AI風險警示設計架構，將機器學習、社群網路分析和視覺化分析等新興技術應用到金融預防詐欺上。更多內容

谷歌欲將HTTPS憑證效期從27個月縮短到13個月

擁有Chrome瀏覽器的Google最近提案，將HTTPS加密的SSL憑證效期，由現行的27個月縮短為13個月。

Google是在6月於希臘舉行的CA/B Forum的F2F會議上提案從2020年3月1日起，將SSL憑證效期由現在的825天縮減為397天，此案將交付大會進行表決。

CA/B Forum是憑證機構（CA）與瀏覽器業者、軟體公司參加的業界論壇，其憑證政策Section 6.3.2規範了訂閱憑證的效期。

過去10年來，瀏覽器業者已經將SSL憑證效期由最早的8年、砍成5年、39個月，去年3月再縮減到現行的27個月效期。

憑證業者對此很不滿，例如DigiCert代表認為，認為此舉將增加客戶憑證更新的頻率，徒增成本及作業負擔。

市場上最大憑證機構Sectigo（原名Comodo）則強調自家憑證可以自動化更新。該公司認為，即使表決不通過，瀏覽器業者也握有絕對權力，可片面強制實行其決策。例如Google、微軟、蘋果及Mozilla近年就是以不安全為由，決定取消其瀏覽器對SHA-1憑證的支援。更多內容

新版React開發者工具改進效能與元件樹瀏覽功能

圖片來源_臉書

近期新版React開發者工具DevTools 4.0，在Chrome、Firefox和以Chromium為基礎的Edge上，以擴充套件的形式發布。新版DevTools獲得大幅效能改善以及更好的瀏覽的體驗，並完全支援React Hooks。更多內容

保全公司雲端平臺出包，恐外洩破百萬用戶指紋和人臉

圖片來源_vpnMentor

全球大型保全業者Suprema生物辨識雲端平臺爆有漏洞，導致數百萬用戶的指紋、臉部辨識等個資被公開於網路上。

這項漏洞是由安全公司vpnMentor研究人員Noam Rotem及Ran Locar首先發現。Suprema的BioStar 2為Web化生物辨識智慧門鎖平臺，可提供管理員各大樓、廠房的進出控管、管理用戶權限、存取人員活動紀錄，以及整合第三方安全app。作為生物辨識管理方案，BioStar 2 利用臉部及指紋來比對人員身份。

Suprema為全球前50大保全業者，上個月才宣布和另一家門禁管理系統業者Nedap合作，將Biostar 2平臺和後者的AEOS系統整合。而AEOS擁有全球83國超過5,700家企業客戶，包括大小型企業、銀行、軍方外包商及倫敦大都會警察。更多內容

Cray拿下美國能源部三個Exascale等級超級電腦合約

圖片來源_美國能源部

美國能源部在本月與超級電腦製造商Cray簽署一紙價值6億美元的超級電腦合約，將由Cray負責打造美國核子安全局的Exascale等級的超級電腦El Capitan。Cray這家超級電腦製造商，已由Hewlett Packard Enterprise（HPE）宣布將以13億美元買下。

El Capitan將成為美國能源部繼Aurora及Frontier之後，第三座運算能力達到Exascale等級的超級電腦，而Aurora及Frontier也同樣由Cray分別與英特爾及AMD聯手打造。

Exascale等級的超級電腦，意謂著它至少具備1 exaflop/s（等於1000 petaflop）的運算能力，每秒可執行的浮點運算次數為10的18次方。El Capitan的目標與Frontier一致，皆著眼於1.5 exaflop/s的運算效能。更多內容

Python 2棄用在即，但PyPy表態持續支援2.7

明年1月Python 2.7將走入歷史，有鑒於許多組織尚未開始搬遷專案到Python 3，Python軟體基金會委任顧問公司Changeset Consulting，啟動Python 2的棄用溝通計畫，而Python直譯器PyPy則表態，只要PyPy專案仍然存在，就會繼續支援Python 2.7。更多內容

賽門鐵克防毒和Windows SHA-2不相容，微軟暫停更新

微軟8月13日釋出Patch Tuesday每月更新，但其中一版安全更新中的SHA-2憑證和賽門鐵克或諾頓（Norton）防毒軟體不相容，導致Windows7及Server 2008 R2電腦無法運作。微軟已經暫時撤回更新等修復後重新發佈。

根據微軟網頁，問題是發生在KB4512486安全更新。當安裝了任何賽門鐵克端點防護（Endpoint Protection）、或諾頓防毒軟體的Windows7及Server 2008 R2電腦，要下載只以SHA-2簽章的更新時，更新版本會遭到防毒軟體的封鎖或刪除，導致Windows電腦無法運作或無法啟動。

微軟於今年2月宣佈，基於舊式的SHA-1憑證較不安全，在歷經許久的雙軌並行後，今年年中起，所有Windows都只會支援SHA-2憑證。較舊的Windows 7和Server 2008電腦也必須在7月16日以前支援SHA-2程式碼簽章。更多內容

Cloudflare正式提出IPO申請

圖片來源_Cloudflare

提供內容遞送網路、DDoS緩解服務與DNS服務的Cloudflare正式提出首次公開募股（IPO）申請。成立於2009年的Cloudflare為一網頁架構及網站安全業者，全球前10萬個最受歡迎的網站中，就有17%使用Cloudflare的免費或付費服務，在Fortune 1,000企業中，則有10%是Cloudflare的付費客戶。

Cloudflare於今年上半則創下1.29億美元的營收，虧損3,680萬美元。

Cloudflare表示，公司自創立後就持續虧損，且預期未來仍將維持虧損狀態，未來幾年也會因增加人力、擴張美國與國際業務，以及繼續研發產品等因素而增加營運支出。更多內容

繼Twitter與臉書之後，Google也在周四（8月22日）宣布關閉210個YouTube頻道，這些頻道主要上傳與香港抗議事件有關的影片，而Google所持理由是相關頻道參與了「協作影響力行動」（Coordinated Influence Operations），Google此舉是為了維護YouTube平台的健全。

Twitter在8月19日關閉了936個帳號，根據Twitter的調查，這些帳號皆源自中國，它們有意並企圖散布香港政治不和的訊息，包括破壞當地抗議行動的合法性與政治立場，且是個由政府支持的協作行動，誇大與香港抗議行動有關的訊息。

臉書在同一天也宣布移除與香港抗議事件有關的5個帳號、7個粉絲頁及3個社團。而Google則說他們的發現與Twitter及臉書一致。

不過，除了Twitter特別說明這些帳號所散布的內容之外，不管是臉書或Google都避免對這些內容作出評論或指控。

例如臉書只說被移除的帳號、粉絲團或社團，多半張貼政治新聞或與香港抗議事件有關的主題，但臉書的行動並非根據它們所張貼的內容，而是這些帳號的行為，像是使用假帳號來管理粉絲頁，企圖操縱臉書平台的用戶等。

而Google則說，這些YouTube帳號通常利用VPN或其它方式來掩飾帳號的來源，或是從事其它與協作影響力有關的活動。

可以看出臉書或Google都盡量不涉及言論審查，以免落人口實。

Google表示，他們持續對抗這些協作影響力活動，除了與業界夥伴及執法機構交換資訊之外，也仰賴內部的調查工具與第三方情報，亦會與執法機構及其它業者分享Google的調查結果。

老牌開發工具Qt推出了專為微控制器單元（Microcontroller Unit，MCU）所發展的圖形開發工具包Qt for MCU，讓開發者能為MCU建置高效能的圖形使用者介面，而這個圖形開發工具包還能與既有的Qt工具以及函式庫結合使用。

聯網裝置隨處可見，範圍涵蓋車載系統、穿戴裝置、智慧家庭和物聯網工業應用等，Qt提到，這些裝置有即時處理能力、低功耗和立即啟動等需求，通常都以微控制器架構來實現，而隨著功能越來越先進，使用者對於介面的要求也就越來越高，Qt for MCUs圖形開發工具提供專為ARM Cortex-M微控制器設計的Runtime，能顯示豐富順暢的用戶介面。

Qt for MCU利用了Qt Quick以及QML（Qt Markup Language）來創建使用者介面，並使用C++ API擴充使用者介面。由於Qt Quick使用Model-View架構，開發者可以簡單地整合C/C++後端，為現有應用程式提供快速移植到Qt for MCU上的途徑。

另外，Qt為這個圖形工具包特別設計了全新的高效能Runtime，僅需要使用少量的記憶體，就能達到良好的顯示效果，而且這個Runtime不需要作業系統，就能直接在處理器上執行。除了可以於全裸機的環境上運作外，也能使用Qt標準函式庫，將程式部署到Linux與Windows等功能更強大的裝置上。

雖然Qt for MCUs目前還沒有正式發布，但官方已經釋出了範例和技術文件，並為Qt for MCUs提供了一套Qt Quick Controls，讓開發者能夠快速啟動開發工作，並使用Qt Design Studio和Qt Creator設計與開發工具，以現有的Qt工作流程開發微控制器應用程式。

對於臺灣漏洞通報現況，自2015年底開始設立的HITCON ZeroDay，每隔一段時間就會公布國內的通報趨勢，今日（23日）第15屆臺灣駭客年會（HITCON）社群場開跑，其中一場議程，公布了2019年最新的漏洞趨勢，其中弱密碼的問題，成為今年新的關注焦點，同時，在漏洞通報之外，現在HITCON ZeroDay平臺增加了全新的人才媒合功能，不僅幫助尋覓資安人才的企業，同時也提供漏洞研究人員接觸更多工作機會。

關於HITCON ZeroDay的最新進況，HITCON常務理事翁浩正表示，至2019年8月下旬，現在平臺註冊的使用者數量達2,200人，註冊的組織（企業）帳號數有400家，而通報組織數量約3,000家。

若與一年前的去年夏天（2018年7月下旬）相比，使用者數量增加幅度明顯，從當時的1,500人又增加了700人，而組織帳號方面，也從當時的300家又增加100家。這也顯示參與漏洞獎勵計畫的通報者，以及重視通報的企業組織，明顯持續增長。

對於大家所關注的臺灣漏洞通報趨勢，翁浩正先說明了2018年度的情形，在所有漏洞通報的類型中，以佔了43％的SQL Injection漏洞最多，另有19％是XSS漏洞。

若與前一年度相比，上述兩類型漏洞儘管是警告多年的問題，但依然佔據前兩名，不過，當時原本排第三的資訊洩漏，比例則有減少，從15%降至5％。

在2019年，今年（2019年1月至今），與前一年度比有很明顯的變化。儘管SQL Injection漏洞仍以31％佔最多，XSS漏洞以16%居次，不過翁告正特別強調了弱密碼問題，是今年新的焦點，他表示有6%漏洞是在通報預設密碼沒有修改，或是使用的密碼很簡單。

對於弱密碼的問題，或許一些人已經知道帳密填充攻擊（Credential Stuffing），或是撞庫攻擊。他也再次說明，現在很多駭客都在蒐集各種已經外洩的密碼，來嘗試登入各個網站，很多企業買了一些解決方案、網站或設備，可是從來沒有改過密碼，導致會被用這種方式來攻擊。因此，弱密碼將是企業不可忽視的問題。

另外，具有非常嚴重性的Shell/RCE漏洞，也從去年的2%升至4%。

人才煤合新功能上線，幫助企業組織徵才及使用者求職

特別值得一提的是，平臺上提供的「企業帳號」免費註冊，現在改稱之為「組織帳號」。他表示，原因是有些協會與學校單位來詢問，他們不是企業是否可以申請，其實，不論公司、法人、學校或團體，只要組織握有一些主機、會被通報漏洞，都可以來這個平臺註冊。一旦註冊後，組織就可以更方便的與通報者溝通，而平臺上也提供像是RSS訂閱，可以掌握那些漏洞被公開。

在這三年發展下來，現在HITCON ZeroDay的後臺功能越來越完整，繼去年推出漏洞獎勵計畫，促進企業組織與漏洞通報者溝通與激勵，翁告正這次更是表示，他們今年開始新提供了人才媒合的功能。

這其實是許多企業都有的需求，不少企業其實都會關注資安人才要去哪裡找？對此，現在他們也因應這樣的需求，並在平臺上開發出相關功能。

對於註冊組織帳號的企業組織而言，透過後臺的人才媒合功能，組織可以列出企業缺那些類型的人，像是滲透測試工程師、資安研究員，以及張貼公司資訊，工作性質、月薪範圍、多久到職、上班時段，需求人數、福利、說明等。

同時也能透過內建的宣傳功能，投放徵才訊息，而他們也為了避免這個功能被濫用，因此有設計訊息投放限制。

而對於使用者來說，在平臺上將能夠看到徵才訊息，也能透過職務類型去挑選，像是攻擊、防禦、研發、研究、調查、顧問與主管等。

這與一般求職網站又有何不同？翁浩正指出，由於HITCON Zeroday本身是一個漏洞通報的平臺，因此每個使用者在漏洞通報的貢獻，就能成為一種證明，而企業找尋人才時，也可以設定貢獻度在幾顆星級以上。

而這樣的新功能，顯示平臺的功能已經更進化，不僅搭起臺灣資安專家與企業組織在漏洞通報的橋樑，同時也是幫助企業組織尋找資安人才的另一管道，以及漏洞通報者求職的新途徑。

重點新聞(0816～0822)

Google     手勢追蹤     機器學習  

Google發表即時手勢追蹤AI模型，用手機就能執行

Google近日發表了一個即時手勢追蹤的新AI模型。這款AI模型可分為3個部分，包括了手掌偵測模型BlazePalm、手部關鍵點模型，以及手勢辨識器。其中，BlazePalm可分析整幀影像、框出手掌範圍，因此就算握拳也不影響辨識，而手部關鍵點模型會評估BlazePalm剪裁的影像區域，產生高度逼真的3D手部關鍵點，最後，再由手勢辨識器依據關鍵點的分布，來分類手勢。

Google將這款模型實作於機器學習跨平臺框架MediaPipe上，在實驗中發現，這款模型光針對單幀影像，就能推論出一隻手的21個3D關鍵點，能夠即時追蹤手部和手指的動作，而且能在手機上就能執行。（詳全文）

  漸凍症    智慧溝通系統    腦波辨識 

科技部發表全球第一套漸凍人智慧溝通系統，用AI辨識腦波判斷患者意圖

科技部近日揭露執行近1年的「漸凍症病友智慧溝通系統」研究成果，目的要讓中後期漸凍症病患，在全身癱瘓甚至連眼球也不能活動的情況下，透過輔具來表達生理或心理意圖。這套系統涵蓋了智慧眼控系統、多功能腦機介面、腦波感測電極帽（E-Cap），以及能重現病友聲音的語音合成技術等。

在智慧眼控系統方面，專案計畫主持人劉益宏表示，最具突破性的技術就是漸凍人腦波掃描及解碼演算法。在掃描病患腦波活動後，能客製化找出不同病患測量腦波的最佳位置，針對中後期漸凍症病患腦波，利用機器學習和碎形維度，來萃取細微的腦波變化，再用來開發一套能辨識「是」與「否」意圖的演算法，目前辨平均識準確率達到85%。而在眼控裝置上，透過演算法從縱向、橫向的眼電訊號，訓練出能辨識上、下、左、右、眨眼等五種眼球運動的模型。此外，研究團隊還開發小樣本語音合成技術，要來重建病患的聲音。（詳全文）

  腎病變預警    東芝     SATLYS  

金澤大學聯手東芝開發糖尿病腎病變預警AI，要降低日本洗腎負擔

日本金澤大學近日宣布聯手東芝，要共同開發一套糖尿病腎病變預警AI，透過判斷患者病情嚴重程度來給予適當治療，降低洗腎風險。東芝表示，日本是全球第一大洗腎國，約有33萬名洗腎患者，其中4成患者的腎病變由糖尿病引起。這個規模不僅影響病人生活品質，每人每年洗腎費用達500萬日圓，而日本政府也須負擔高額公共醫療支出。而金澤大學將提供腎臟組織切片影像和專業知識，再利用東芝的AI分析平臺SATLYS來訓練模型、預測病變嚴重程度。目標是要提供超初期檢測和個人化治療，來降低洗腎風險。（詳全文）

  DeepMind    增強式學習      代理人 

DeepMind發表評估RL代理人的新方法Bsuite

DeepMind日前發表一組評估增強式學習（RL）代理人的新方法Bsuite，來了解RL代理人在不同應用程式中的表現。DeepMind研究團隊針對RL演算法核心功能，設計了一系列實驗（也就是Bsuite），每個Bsuite實驗都由3個部分組成，包括了環境、互動和分析。首先是透過參數來產生環境，接著建立評估代理人與環境互動的固定制度，最後有一套流程將代理人行為映射到結果。為了將代理人的分析結果視覺化呈現，團隊還定義了一個分數來說明代理人的任務表現。

DeepMind指出，Bsuite實驗是用來檢查代理人在不同環境的表現，而非用來分析其內部工作原理。每個實驗包含了5個關鍵特質，包括達標、簡易、挑戰性、可擴展性、快速。Bsuite目前已於GitHub上開源。（詳全文）

Google     Live Transcribe     語音轉錄 

Google開源自家即時轉錄工具Live Transcribe

Google日前開源自家即時語音轉錄引擎Live Transcribe，目標是要促進更多為長篇對話提供即時字幕的應用。Google在2月時推出Android版Live Transcribe應用程式，利用機器學習技術來提供即時語音轉文字服務，支援了70種語言。而Live Transcribe的語音辨識技術使用了Google自家的Cloud Speech API，容易受到網路穩定性、資料傳輸和延遲性等問題的影響。

為此，Google利用自訂Opus編碼器來解決資料傳輸問題，可降低10％資料傳輸量，同時也保持辨識精準度，也有助於改善低延遲問題。而這些技術也隨著Live Transcribe程式碼於GitHub開源。（詳全文）

  臺北市   智慧城市    影像辨識  

結合AIoT人流分析，北市府試驗新一代多媒體資訊站

臺北市政府發展智慧城市再進一步，近日和三家民間業者聯手，試辦新一代多媒體資訊站（Kiosk），目前先在臺北市信義商圈部署10座全新的Kiosk，結合電子廣告看板、空氣品質偵測、人流分析、公共免費Wi-Fi無線上網服務，開放民眾或觀光客免費試用，先進行驗證和考量商業模式可行性。

其中，Kiosk上方配有攝影機，業者利用AI和IoT技術，可進行去識別化的商圈人流分析、年齡分析，能夠對特定的使用族群提供精準行銷廣告。此外，Kiosk上配有10吋觸控螢幕，採Android系統，可查詢公車資訊、地圖、城市景點導覽、3分鐘的本地電話服務，還內建Chrome瀏覽器，但為避免民眾濫用資訊站上網，Chrome瀏覽器限制僅能瀏覽北市觀光局等特定網站，而Kiosk下方也提供USB充電功能。（詳全文）

Python 2   Python 2.7     PyPy  

Python 2將被棄用，但PyPy會繼續支援Python 2.7

Python 2.7將於2020年1月1日棄用，不再繼續開發Python 2和安全補丁。但有鑒於許多組織仍未將專案搬遷到Python 3，Python軟體基金會委任顧問公司Changeset Consulting啟動Python 2的棄用溝通計畫。

由於PyPy內建JIT而受到不少開發者喜愛，也明顯提升Python程式碼的執行速度，而PyPy的關鍵元件動態語言實作框架RPython大量使用了Python 2，所以Python直譯器PyPy則同時在推特以及官方問答文件中強調永遠支援Python 2。（詳全文）

Cerebras Systems    AI晶片    深度學習 

Cerebras Systems推出深度學習專用超大型晶片

電腦系統公司Cerebras Systems發表一款有史以來最大的半導體運算晶片Cerebras Wafer Scale Engine（WSE），邊長約22公分，尺寸超過一個iPad Air大小，面積比目前最大的GPU還要大上56倍，要為深度學習應用提供更強大的運算能力。

這個晶片擁有超過1.2兆個電晶體、40萬個AI最佳化核心和18GB記憶體，其AI運算核心採Swarm Fabric技術，在2D的網狀網路上相連，以100Pb的頻寬進行訊息交換，頻寬是GPU的一萬倍，但耗能只是傳統GPU的一小部分。Cerebras Systems表示，WSE專為深度學習而設計，能提供更高數量級的運算能力，把數個月的模型訓練時間，縮短到數分鐘。（詳全文）

圖片來源／Google、東芝、臺北市資訊局

 AI趨勢近期新聞 

1. Google釋出AI自學工具Socratic

2. Ikea成立智慧裝置事業部Ikea Home Smart

3. 數學工具App Snip用ML秒速將數學公式轉換為LaTeX格式，歐美學研界都瘋狂

資料來源：iThome整理，2019年8月

在2017年底，主流的常青瀏覽器都支援了ES6模組，表面上看來，只要將script標籤的type屬性設為module，就可以開心使用模組了；然而，專案可能依賴第三方程式庫，而程式庫不見得對ES6模組友善，也可能是從非同源伺服端取得模組，此時，該怎麼整合這些程式庫呢？

從script標籤談起

預設情況下，瀏覽器在遇到傳統script標籤時，會停止文件剖析，執行script標籤間內嵌的程式庫，待執行完畢再繼續文件的剖析；若是透過src外聯.js檔案，瀏覽器會「同步地」下載.js檔案，在下載完成並執行完程式碼之前，後續的其他資源下載、頁面剖析等，都會被阻斷；因此，若想在文件資源完整載入後，再執行指定的程式碼，經常會借助window.onload事件。

不過，文件資源的完整載入，是指HTML、CSS、圖片等都載入完成，而不單指DOM樹建立完成；若想在文件剖析完成、DOM樹生成時就執行程式碼，現代的建議是將script放在文件尾端，通常是body標籤之前，因為此時DOM樹已經建立，操作DOM節點就不是問題了。

為了能進一步控制.js的下載方式與執行順序，HTML5為script標籤增加了async與defer屬性，但這兩個屬性只有在透過src外聯.js檔案，才有作用，因為，傳統內嵌程式碼的script標籤，會忽略async、defer屬性，依舊依頁面的出現順序執行。

若script標籤加上async屬性，瀏覽器會「非同步地」下載.js檔案，在下載完成前，不會阻斷後續資源的下載與頁面剖析，然而一旦async的.js下載完成，瀏覽器就會暫停頁面剖析，先執行.js的程式碼後，再繼續處理頁面剖析。如果有多個async屬性的.js，先下載完的就會先執行，因為下載完成的順序是無法預測的，因此「執行順序也就無法預測」。

若要指定執行順序，script標籤可加上defer屬性，瀏覽器會「非同步地」下載.js檔案，不會阻斷後續資源的下載與頁面剖析，完成後也不會馬上執行程式碼，而是在DOM樹生成、其他非defer的.js執行完後，才執行被加上defer屬性的.js，如果有多個defer屬性的.js，會按照「頁面上出現的順序」執行。

瀏覽器與ES6模組

如果瀏覽器支援ES6模組，我們可以將script的type屬性設定為"module"，若是內嵌程式碼，script標籤的範圍就是模組範圍，若是以src外聯.js檔案，表示該檔案是個模組檔案，預設會是「defer」的行為，外聯.js時，會非同步地下載檔案，等到模組都下載完後、DOM樹生成之後，才會執行模組內容，而執行順序是按照頁面上出現的順序，無論內嵌或外聯.js檔案，執行對象是模組的頂層程式碼。

script標籤的type設為"module"時，可以附加async屬性，這時必須配合src外聯檔案（經測試，內嵌程式碼時加async無效），除了認定指定的檔案是個模組檔案外，其餘與方才談到的async行為相同，也就是先下載完先執行。

由於script的type屬性設定為"module"時，就視為一個模組，因此多個模組的script間基本上無法溝通，除非模組程式碼在window全域物件上設定了特性，例如，以模組方式載入jQuery程式庫的話，window就會有個$特性，另一個模組才可以使用$，這是以script載入模組，又要應用jQuery這類程式庫的一個方式；除此之外，通常會有個程式進入點的模組，在其中使用import來靜態地載入其他相依的模組。

import也是非同步地載入模組，若有多個import，會全部下載完成後再依import的順序執行；無論import幾次，或者使用script type="module"多次，同一來源的模組都只會被載入與執行一次。

由於import是靜態地匯入模組，若想動態地匯入模組，可以透過import()函式，在過去瀏覽器多半都實作這個函式了，而撰寫本文時，ECMAScript中〈import()〉（https://bit.ly/2Yqiksv）提案已達階段四，預計於2020年（也就是ES11）正式發布；import()會傳回Promise，任務達成後可以取得模組物件，從中可以取得模組匯出的公用API。

在瀏覽器相容性上，可以處理模組的瀏覽器，會忽略被設定了nomodule屬性的script標籤，因此，在不支援模組的瀏覽器，可以如下撰寫（假設m_fallback.js不是使用ES6模組）：

<script type="module" src="m.js"></script>

<script nomodule src="m_fallback.js"></script>

模組與CORS

傳統script標籤本身就可以跨域下載.js檔案並執行，必要時，開發者也可撰寫程式碼，動態地建立script元素並指定src，在附加至DOM樹後，就會動態地下載.js並執行，過去被用來實現JSONP，以繞過瀏覽器同源策略實現跨域請求。

在先前專欄〈深入認識跨域請求〉中就談過，JSONP並不是正式定義的跨域請求機制，只是用來繞過瀏覽器同源策略的技法，後來，W3C規範了CORS（https://bit.ly/2UZWB5g），現在有些伺服端在提供資源時，也會要求遵守CORS協定，而HTML5也為CORS提供了支援，對於script標籤（以及img、video等）可以使用crossorigin屬性，令對.js的請求回應遵循CORS協定。

然而，傳統script標籤預設不遵循CORS，若非同源的.js伺服端沒有實現CORS，傳統.js就不用在script加上crossorigin，加了的話反而行不通，因為，此時.js的請求除了附加Origin標頭之外，瀏覽器預期非同源伺服端要回應Access-Control-Allow-Origin等標頭，若伺服端不提供，瀏覽器就會拋出存取錯誤。

在傳統script標籤上，只出現crossorigin屬性，或是crossorigin設為空字串之際，都相當於設定crossorigin="anonymous"，這時會遵循CORS（請求模式會是"cors"），非同源請求會附上Origin標頭，然而，不會附上憑證（如cookie、證書等，也就是CORS的憑證模式會是"same-origin"），如果非同源的.js伺服端要求提供憑證，crossorigin必須設為"use-credentials"（也就是CORS的憑證模式會是"include"）。

在瀏覽器中，模組必定遵循CORS，也就是script的type設為"module"時，就相當於自動加上了crossorigin屬性，此時，無論是透過src外聯，或者在程式碼中import，甚至是動態地呼叫import()，若來源模組非同源，非同源伺服端提供模組檔案時就必須實現CORS，瀏覽器在非同源請求模組檔案時，預設並不附上憑證，如果需要提供憑證，必須自行設置crossorigin為"use-credentials"。

釐清程式庫採取的方式

ES6模組畢竟是標準，瀏覽器中的ES6模組預設就是非同步地下載，按照頁面的出現順序執行，跨域請求時必然遵守CORS，定義上比較完整，在理想的情況下，我們應該採用這種作法。相對而言，就是細節較多，非同源的伺服端也必須實現CORS，如果有興趣認識更多，你可以參考〈ECMAScript modules in browsers〉（https://bit.ly/2r8QMH3）。

然而，就現今來說，並不會如此理想，像是〈Real World Experience with ES6 Modules in Browsers〉（https://bit.ly/2MrrPkv）談到，程式庫可能提供傳統JS與模組版本，須考慮到一些轉譯程式碼的工具採用，甚至可能有自訂載入器的需求，因此，唯有對傳統JS與ES6模組匯入的細節有更多掌握的情況下，面對這類複雜，才有處理的可能性。

佳世達在今年臺灣機器人與智慧自動化展中，首次亮相第二代服務型機器人：Mibot防疫機器人，目標是要清潔院內灰塵和病菌。佳世達智能方案事業群自動化應用部專員蘇呈芳表示，這款機器人可分成兩部分，包括底部的移動基座引擎，以及其上的導覽器和收納裝置。

這款機器人的基座底部設有UV藍光燈管，可對醫院地板、床底等公共區域進行殺菌、消毒。而底座後方還設置吸塵模組，發出白色微光，可提升室內空氣品質。這2個功能綜合起來，可消滅生物氣膠、降低飛沫傳染和接觸性傳染因子，「殺菌率達90％以上，」進而減少院內交叉感染風險。

在機器人底座上方，則配有觸控式的導覽螢幕。搭配移動基座以雷射來建置院內地圖，不僅能顯示民眾當前位置，還可根據需求來導航至特定看診科室。在機器人側身，則備有輕量運載櫃體，可放置醫療物品。蘇呈芳表示，這款防疫機器人，下個月就將導入員林基督教醫院，來服務就醫民眾和提高院內清潔率。

其實，這並非員林基督教醫院第一次導入機器人。2年前，員林基督教醫院就導入了佳世達第一代Mibot機器人ORBER（如下圖），專門用來運送手術後的手術汙衣和耗材等物品，取代傳統人工搬運。

（圖片來源：佳世達）

進一步來說，護理人員可先透過平板App來呼叫運送機器人，將汙衣和耗材裝置於移動式鐵櫃後，再與機器人相扣。而機器人透過無軌式3D雷射和超音波感應，能在院內轉角自動減速、轉彎，運送重達150公斤的，並避開障礙物。此外，護理人員也可透過雲端系統來檢視機器人位置，進行遠端遙控。

在外觀上，第一代Mibot機器人與第二代防疫機器人不同，有明顯的頭部和機身，並配有語音功能，可提供術後衛教資訊。至於機器人的充電機制，可透過直接插電、抽取式電池，或自動充電站來完成。文◎王若樸

金管會7月底公布純網銀名單後，包括將來銀行、樂天國際銀行，都在第一時間亮相，相較起LINE Bank，則是低調許多。

不過，LINE Bank籌備處專案管理辦公室負責人徐文玲，今天（8/24）在中華民國電腦稽核協會舉辦的一場論壇上，更進一步揭露了自家未來作法。

預計2020年上半年開業的LINE Bank，在籌備期間就曾在LINE調查消費者對純網銀的期待，調查顯示，純網銀要具備簡單、便利、樂趣、安心與完整的服務，才是符合消費者的期待。

徐文玲表示，遊戲化設計、以消費者為中心的個人化設計、場景金融、互動式設計，都是LINE Bank在設計樂趣服務時的關鍵，而這些樂趣也將會埋在所有交易行為中。LINE Bank認為，要讓消費者與銀行緊密互動，就得提高黏著度，讓消費者黏在這個場域之中。「有了流量，才有金融商品的增值。」她說。

在安心的部分，消費者認為防制金融詐欺、個資保護等元素至關重要。在完整的部分，消費者想要的是一個金融平臺，具備生活金融、One App以及完全的體驗。

徐文玲提到，LINE Bank會基於LINE生活平臺發展，透過大數據來拓展金融服務，並結合各產業打造FinTech金融平臺。

先前，LINE Bank執行長黃以孟就提過，要打造一個金融犯罪整合管理平臺，來提供風險案件的管理之用。且將是一個企業級風險案件管理平臺，可提供預警管理機制、調查處置、案件管理與呈現展示。

徐文玲在今天進一步揭露，LINE Bank要運用智能分析的反詐欺管理，此金融犯罪整合管理平臺，要以風險為出發點的作法，分成三階段，包括預防、偵測、調查，加上AI智能分析，來達到反詐欺管理。

預防的部分，會分析詐欺來源、詐欺態樣，蒐集多維度情報，並運用先進模型方法，包括數據分析、機器學習及深度學習技術等，再將模型規則佈署到反欺詐系統。

偵測部分，會透過反欺詐系統，即時監控，並針對偵測結果進行風險分級，不統風險等級會採取不同措施，例如，人工介入審核、限制往來項目、通報等。

調查部分，則會針對高欺詐風險客戶進行管制，或限制帳戶使用功能，進行詐騙通報並協助調查。

LINE Bank也會從盡職調查、名單過濾、可疑活動監控、貨幣交易報告、可疑交易和活動報告，來建立起客戶單一視角的金融犯罪防制。

對異常交易的監控，則會以AI智能分析，包括客戶過往行為分析、預期行為分析、客戶身份配對、分群剖析、關注分類等，對帳戶與交易持續監控，對疑似洗錢及資恐交易申報。

在反詐欺與反舞弊，LINE Bank也有一套模型化詐欺偵測指標，包括了客戶使用裝置的關聯性、設備智能監控、地理位置智能監控、帳戶資訊改變、帳戶登入的驗證與回應。

徐文玲也承諾，LINE Bank的資料絕對會落地臺灣機房，為消費者做客戶資料管理。

此外，徐文玲指出，LINE Bank的優勢，就是來自總部的五大資安資源。一是將加入LINE全球白帽駭客獎勵計劃，二是LINE有全球24小時的無縫弱點探測，三是LINE有全球資安區域聯防，而這些相關情資都會立即分享。

四是在LINE生態聚落，打造安全的數據環境。她提到，LINE本身就有全球API授權保護機制，在做資料傳輸的管理。包括特定用戶確認、存取權限授權審核、通路身份認證機制、商業使用者認證機制、存取控制安全機制、服務通路確認機制，目前，LINE集團已釋出超過100個API。

對於財金公司近期公佈的Open API技術與資安標準，徐文玲表示，LINE Bank也會遵循主管機關API相關資料傳輸規範。

最後一項則是，LINE本身有一套行動防護安全機制，LINE Bank也會以此機制來看目前設計的行動銀行與網路銀行，是否有資安的漏洞。

其實，黃以孟先前就曾經提過，LINE Bank設立後，將引進日本總部的資安防護能力。日本LINE集團早在2012年設立了CSIRT團隊（Computer Security Incident Response Team，資安事件應變團隊），主要分成兩大職能部門，第一個就是彙整所有資安資訊，並且有24小時輪班的SOC（資安維運中心）；另外一個就是，進行各種資安資訊監控與分析的CERT（Computer Emergency Response Team，電腦緊急應變小組）。

初步規畫上，臺灣LINE Bank團隊中會設立相對應的資安團隊，加入LINE總部的CSIRT虛擬組織，同時也配合LINE Bank SOC中心的成立，來進行日韓臺區域聯防。

第15屆臺灣駭客年會（HITCON）社群場於23、24日登場，連續兩天活動於週五、週六舉行，現場帶來多個議程與各式大會活動，吸引近千名對資安有興趣的研究人員和學生參與。

近年來，全球各國積極推動資安人才培育，臺灣最大最具資安技術能量的臺灣駭客年會，也期望與國內產、官、學、研領域，共同提升國內的資安人才與能量。

在這次大會活動上，例如，現場有安資安研究人員Orange與Meh，道出他們找出企業SSL VPN漏洞的寶貴經驗，其實在8月初的美國Black Hat大會上，他們已經發表演說，不過這次是他們首次以中文演講，讓國內與會者能夠更近距離接觸與理解。

而在多項議程之外，現場還有各式活動，包過歷年來都持續有的綿羊牆、駭客算命攤與奇葩獎等，以及一番賞、狩獵者行動、焊接電路板等各式活動。在週六的大會現場，他們還頒布了今年HITCON密室逃脫競賽活動的前三名。

關於駭客密室脫逃的活動，這其實是去年新推出的項目，結合了解謎、教學與競賽，不過甫推出就獲得熱烈響應。負責駭客密室活動的Melody表示，這個密室其時是他們打造一個擬真的辦公室空間，裡面有常見辦公設備，像是印表機、打卡系統、監控系統與機房設備，而裡面的題目涵蓋範圍，包含物聯網安全、網站安全、伺服器安全等，希望讓玩家在體驗密室後，可以快速知道自己的強項與不足，激發參賽者學習資安的渴望。

今年HITCON將這項活動擴大舉行，因此活動不只短短兩天，而是從今年7月即開始接受組隊參加，至今活動已舉行一個月，他們也針對前三名給予鼓勵，其中第一名的「CSCS」團隊，更是以比其他隊伍快一半的時間破關。而這項活動還將持續到9月28日。

幫助訓練IT人員實戰的Mini Hardening新登場

特別的是，在週六一整天的活動中，現場還舉行了一個稱之為Mini Hardening的大型活動，這是大會今年特別邀請的項目。本屆HITCON CMT總召邱柏森表示，這是日本資安社群 WAS Forum打造的攻防競賽，已經在日本舉辦很多場，這次首度將整個活動搬到海外。

基本上，這項活動對於企業IT人員將很有意義。參與的人都將能以親身體驗的方式，要在3小時內，找出與修復特定環境中的漏洞，以保護系統不會再次受到同樣的網路攻擊。

  
圖片來源／HITCON

邱柏森指出，這對於企業負責IT管理維運，又要處理資安事情的人，會很有幫助。他解釋，很多IT人員知道Windows Update、Patch修補，但可能不知道上完Patch可能要做一些系統調整，才真的做到保護，而這項活動將讓IT人員能更清楚知道，如何修補與防禦設定，以及檢查那些資料去處理這樣的漏洞，並透過團隊合作來執行資安事件處理。

由於傳統IT人員的產業中，很少有這樣的訓練，可是實務上，IT裡面真的需要有懂資安的人，才能讓IT維運與架構變得更好，並希望能在活動後的交流與分享，可以從別人身上學習到更多，並把經驗帶回去給自己的企業，或是自己未來的工作，讓自己的環境、伺服器可以更安全。

其實，去年底HITCON也舉行過HITCON Defense企業資安攻防大賽，精神都是讓參賽者扮演藍隊的角色，來找出防禦的不足，以及遭受攻擊時發現弱點與修復。

另外值得一提的是，在Mini Hardening之外，現場還有一個大型活動也很特別。這是來自香港的VXCON帶來的VX（Variety eXpliotation) Village，將帶領大家將USB上面的晶片解焊下來，並用專門的晶片讀取器，劫持無線的燈號控制器，挑戰硬體破解實作。目前，這個VX Village的活動，在各大資安研討會上也都在進行。

 
圖片來源／HITCON

臺灣造型電路板Badge吸睛，並提醒大家注意使用TrustZone時，實作不當仍有資安問題

另外，近幾年大會發起電路板Badge的挑戰，也讓與會者認識不同的知識與技術。像是去年推出區塊鏈硬體電路板，今年更是帶領大家認識與挑戰硬體安全TrustZone。

在這塊以臺灣為造型的電路板上，由24顆LED，以及3個傳輸燈號開關燈號組成，並有六個操作按鍵，當中並設計了TrustZone挑戰關卡讓大家來破解。

負責電路板設計的李倫銓，在大會第二天現場再次強調硬體安全的重要性，並說明TrustZone的概念。對於這次電路板上的TrustZone挑戰關卡，不只是要認識TrustZone的意義，同時也希望能藉由這次經驗，讓大家注意到使用Trustzone時，如果實作有問題，一樣會有資安的問題、資安的缺陷。

 
圖片來源／HITCON

在這次的電路板Badge上，他們使用了新唐M2351的MCU晶片，這也讓大家認識在MCU上也能跑TrustZone。負責韌體與大會題目的Yuawn表示，這顆MCU晶片並不複雜，主要就是不安全（Non-secure）與安全（Secure）的區域，當中包含一個環節，是從不安全把東西往安全區域送，而安全區域完成運算後，又是如何把權限轉回去。

攝影／羅正漢

簡單來說，在Badge上Non-secure的部分，包含LED與簡單的命令列等，另外，他們並將Badge上很重要的部分放到Secure區域，像是解鎖的東西，當中用了一些簡單的Bit當作Lock，需要對他做讀取修改，一定要透過預先部署的方式來執行修改與存取。而在這項TrustZone挑戰中，包含了三道題目可以破解，他們希望傳達一個理念是，就算開發程式是丟進TrustZone，可是也要注意開發上的安全。

精選8/15~8/21重要Container新聞，非看不可

#CRD、#部署自動化、#基礎架構設計
支撐2千億次貼圖的關鍵，Pinterest公開K8s平臺自建經驗

3億用戶在圖片分享平臺Pinterest上標記了2千億次圖片。為了支撐龐大用量，Pinterest開發了數千個各種服務機制，包括了需要單一CPU的維服務，也有靠大型VM執行的大型應用，另外還有跨不同框架的多種批次作業處理。這些運作需要大量CPU、記憶體和I/O。
為了兼顧開發生產力、基礎架構效率和服務可靠性，Pinterest決定採用K8s來打造自家的基礎架構。不過，為了讓K8s平臺可以滿足上述的複雜需求，Pinterest維運團隊決定大量利用K8s的CRD（Custom Resource Definitions，客製化資源定義）功能。他們解釋，CRD有三大好處，一是可將不同類型的原生K8s資源打包成一組，方便再利用。二是可內建應用程式必要元件和基礎配置，開箱立即可用，讓應用程式工程師更專注於業務邏輯。最後一點是，透過CRD控制器，可以進行原生資源生命周期管理，讓資源利用情況更佳透明化。

另外，Pinterest還設計了一套AP自動部署流程，再依據不同的自動化任務的類型，來設計了一套自己的CRD（客製化資源定義），例如有用來管理批次作業任務的PinterestJobSet CRD，或是用於TensorFlow和Pytorch任務的PinterestTrainingJob CRD，或像適用來建立無態應用的PinterestService CRD。如此一來，就可以在呼叫一項AP任務時，就可以自動套用對應的CRD來完成K8s的配置。

#Istio、#服務網格
Google接露開源服務網格平臺Istio下一步API方向

用於大規模微服務管理的服務網格平臺Istio是Google打造混合雲產品Anthos的核心元件之一，最近兩位Google工程師最近在Istio官網接露了新的API設計方向。Istio專案目標是打造一套穩固又強大的服務對服務網路元件，目前已有一套機制，方便開發團隊來對應架構、工作負載和服務運作限制之間的關係。過去，Istio的API設計，是從整體維運架構上的方便組合性、抽象化和彈性來設計，未來要轉而以使用者導向的抽象化方式來設計，也就是讓不同使用者可以用簡單的方法，做到複雜的管理和配置。因此，下一步，Istio的API將聚焦在不同權限角色的功能。例如資安管理者可以簡單地將資安命令套用在一組服務網格上，或者維運人員可以方便地套運流量管理命令等。

#叢集管理、#工作負載視覺化
K8s叢集管理新工具，VMware開源了Web版K8s應用儀表板

從VMware今年開始加速布局K8s，最近開源釋出了一款Web版K8s叢集管理儀表版Octant，可以從開發者角度，來檢視單一K8s叢集中所有應用程式的執行情況。Octant提供了一個Web儀表板，可以透過視覺化的方式，來呈現應用程式所用的資源和物件之間的關連。不過，不同於K8s原有儀表板功能，Octant可以在主機本地端執行，而且直接使用自家K8s憑證來存取K8s的叢集，來降低安全風險。另外，Octant特色之一是即時監控CRD（Custom Resource Definitions）物件的狀態，也可自訂不同的CRD資源檢視方式，方便管理。另一個特色是，Octant設計了一套外掛系統，未來可以提供給第三方廠商開發擴充工具，將更多資訊整合到Octant儀表板上。目前Octant在GitHub上釋出了0.6版。

#Pivotal、#VMware
VMware正式收購Pivotal

先前VMware才傳出要收購Pivotal，已經展開了對外部流通普通股的股權收購計畫。就在VMworld舉辦前幾天，VMware也正式宣布併購了Pivotal。VMware指出，Pivotal 是VMware長期合作夥伴，雙方經常合作為企業提供應用開發和基礎架構的技術。VMware董事會將持續評估此事，但不保證收購案一定會發生。VMware目前力推的K8s產品，就是來自Pivotal打造的PKS，先前VMware營運長Sanjay Poonen更預告，會將K8s內建到自家vSphere產品中，今年8月底就會公布細節。近年VMware積極透過併購來搶進K8s市場，趁勢將Pivotal團隊納入，也是一種快速強化K8s產品整合的作法。

#Anthos、#Jenkins
老牌CI/CD工具Jenkins將整合到Google混合雲軟體Anthos

最近Jenkins開發商CloudBees宣布，將與Google結盟，將Jenkins和Jenkins X的持續整合和持續派送機制，整合到Google的混合雲產品Anthos中。Jenkins X本來就是專門鎖定Kubernetes應用的CI/CD平臺，而Anthos也是以K8s為核心，可以跨公有雲和企業內部環境的跨雲平臺。

#容器持久儲存、#NetApp
NetApp跨足容器服務應用，可橫跨多種雲端服務部署K8s叢集

最近，NetApp在臺舉辦的INSIGHT 2019 Taipei大會上，揭露了更多NetApp Kubernetes Service（NKS）的現況。NKS是一套SaaS雲端服務，並且是針對混合雲與多雲部署環境的Kubernetes上游服務（upstream K8s），能讓用戶透過NetApp Cloud Central的網頁入口介面，在指定的雲端服務環境裡面，直接建立具延展性且支援生產環境使用的Kubernetes叢集，並享有集中管理的機制，可在此控管Kubernetes生命周期。NKS可支援AWS的EKS、微軟AKS，以及GCP的GKE，以及從今年6月開始支援NetApp自家的超融合基礎架構系統，也就是NetApp HCI。NKS也預裝了NetApp發展的開放原始碼軟體Trident，可以針對容器環境，提供動態調度持續性儲存（persistent storage）的功能。

#AirShip、#雲端自動部署、#K8s
AT&T找來戴爾科技聯手，加速發展新版跨雲自動部署平臺AirShip

去年初，AT&T、韓國SK電信和Intel聯手發起了一個雲端自動部署平臺計畫AirShip，要打造一個可以通吃傳統虛擬化、雲端環境、容器環境的框架，今年4月推出了1.0正式版。但是，這個框架未獲得重視，只在電信圈流傳。AT&T最近決定，找來戴爾科技，聯手打造下一版AirShip，還要整合Kubernetes到AirShip中，成為可自動部署和管理的支援環境。另外，也會強化AirShip在戴爾基礎架構的支援。雙方開發團隊初步將聚焦於開發Metal3-io、OpenStack Ironic套件和Kubernetes Cluster API的整合工作上。

責任編輯／王宏仁

更多Container動態

• 整合K8s、HCI與SDN，思科推出企業級容器應用平臺
• 微軟買下Java效能最佳化工具jClarity
• Sylabs正式推出容器加密安全工具Singularity Enterprise

＠資料來源：iThome整理，2019年8月

Google對網頁隱私進行了初步的提案，並將這些需求提案總結稱為Privacy Sandbox專案，Google會根據目前使用者訊息在廣告網路中被使用的情況，重新訂製隱私保護API，而這些API必須要兼顧使用者隱私，以及廣告發布商的效益。

最理想的廣告投放狀況，是瀏覽器能為廣告發行商提供相關內容，使得用戶可以獲得精確的廣告，但是又盡可能減少使用者歷史瀏覽資訊的共享，Goolge提到在這方面，他們過去5年發展了差異隱私技術，能夠讓廣告發行商對一大群類似喜好的使用者投放廣告，但瀏覽器又能避免透露使用者的喜好。

Google在今年I/O大會中提到會使用隱私預算（Privacy Budget）的概念，來防止用戶被網站以指紋辨識技術追蹤，而他們的做法，便是讓網站呼叫特定API，而這些API能夠將用戶隱藏在一群用戶中，當網站想要進一步對用戶進行追蹤時，瀏覽器便會出手干預。

另外，廣告發行商也需要能夠檢測並防止詐欺行為，避免偽造的廣告活動，從廣告發行商或廣告主騙取資金，Google表示，現今也有一些使用隱私安全機制的合法打擊詐欺的工具，像是CloudFlare為Tor使用者發展的PrivacyPass令牌，現在即將成為標準程序。而廣告發行商以及廣告主也需要知道，這些廣告轉換成實際效益的比例，這部分Google和Apple現在都提出一些方案，能夠滿足這些量測需求。

之所以要訂定一套隱私標準的原因，是因為單純的禁止追蹤技術，反而會讓隱私資料實務走向使用者意料之外的方向。Google以Cookie當作例子，當瀏覽器大規模阻擋Cookie來追蹤使用者，則開發人員便會尋求其他可以追蹤使用者指紋的方法，諸如以使用者擁有的裝置或是安裝的字體，產生唯一的追蹤碼，而這些唯一追蹤碼是無法被用戶清除的，但是遭到瀏覽器阻擋的Cookie，反而提供讓用戶主動清除的選擇。

Google提到，依照他們的經驗，從網頁技術中刪除部分功能，開發人員會尋求其他變通方法，來維持系統正常運作，而這些方法通常不會是正面的方法。另外，Google認為，一味的阻擋Cookie，但是沒有提供廣告發行商其他有效傳遞廣告的方式，將會使得來自廣告的資金減少，而原本由廣告資金挹注的免費內容，將可能消失或是轉變為付費內容。

微軟為Visual Studio Code推出了WebTS（Web Template Studio）跨平臺擴充套件，讓開發者簡單地就能創建全端網頁應用程式專案。WebTS擴充套件會以設定精靈，指引開發者創建網頁應用程式，開發者可以在過程中選擇前端框架、後端框架、頁面或是雲端服務，WebTS會自動產生樣板程式碼以及說明文件。

WebTS擴充套件使用TypeScript和React創建，開發者可以在前端選用Reon、Vue和Angular創建專案，而後端專案則可以選用Node.js和Flask。為了加速應用程式創建，開發團隊提供了幾個應用程式頁面樣板，讓開發者為頁面添加常用的UI，除了可以留空外，還可選擇預先增加網格或列表等介面，開發者可以在添加這些UI之前先預覽，待確定網頁樣式後再加入。

微軟提到，該擴充套件能產生格式良好且易讀的程式碼，也提供最佳實踐程式碼為開發者整合Azure雲端服務，目前支援Azure Cosmos DB以及App Service。所有WebTS擴充套件產生的程式碼，都會連結ReadMe.md文件提供手把手開發步驟引導。

開發者可以在Visual Studio市集中找到WebTS擴充套件，除了安裝該套件外，用戶也需要在系統安裝Node.js以及Yarn。WebTS擴充套件是一個開源專案，在GitHub釋出原始碼。

Google對採用DevOps企業進行分析，發布了最新的2019年報告Accelerate State of DevOps，調查自全球超過31,000名專業人士，並且已經進行超過6年的研究，這是目前最具規模且執行時間最長的DevOps報告。

比較2018年與2019年的報告顯示，DevOps已經跨過了發展鴻溝，各行各業中的DevOps菁英績效企業（Elite Performer）數量是去年的3倍，也就是說表現良好的組織，仍然持續提升他們所擁有的DevOps專業知識，使其DevOps績效達到卓越。整體來說，低績效企業（Low Performer）比例降低，中績效企業（Medium Performer）比例上升，Google表示，中績效企業有部分來自低績效企業，而有另一部分則是從高績效企業（High Performer）降級。

Google在2018年首先定義了菁英績效企業這個詞，作為高績效企業中的一個子群，而今年將其獨立出來。菁英績效企業比起低績效企業，在生產方面，平均程式碼部署次數多了208倍，從程式碼交付到軟體部署的速度快了106倍，而在穩定性上，從意外故障事件復原的時間，菁英績效企業比低績效企業快了2,604倍，而且其程式碼變更失敗率為七分之一。

在Google調查的這些企業，其中有80％的企業其主要的應用程式或是服務，架構在雲端平臺上，菁英績效企業有更高的比例使用雲端技術，以獲取快速縮放規模以及可靠性等優勢，而且DevOps績效最好的團隊，其在NIST所定義的5項雲端運算能力的表現，是DevOps績效最差團隊的24倍。

NIST的5項標準包括按需自助服務、網路存取、資源池、快速彈性以及可測量的服務，Google提到，只有29％的雲端使用者符合NIST的5項標準，而這解釋了不少企業組織雖然使用雲端技術，但是卻沒有享受到雲端技術所帶來速度與穩定性優勢的原因。

Google還進行了額外的研究，分析DevOps績效在產業類別與規模的關係。結果顯示，雖然DevOps表現最好的產業是零售業，但沒有證據顯示這是因為產業特性造成的，所有產業包括金融服務和政府等受高度監管的組織，都可以實現良好的DevOps成果。

不過企業規模的確會影響DevOps的效能，組織人數超過5,000人的時候，DevOps成效會比員工數少於5,000人的企業組織還低，Google推論，這樣的結果可能來自於重型處理程序（Heavyweight Process）以及緊耦合基礎架構（Tightly Coupled Architecture）所造成的延遲與不穩定性。不過，Google表示，企業不要以此當作DevOps績效不好的藉口，應該著手尋找可以持續改進效能的方法。